\ RSM20220615 - Resoluciones Relevantes
|
Videovigilancia,
Tablones de anuncios, Redes sociales, Páginas web, No atención a
requerimientos AEPD, Legitimación, Publicidad... |
||||||||||||||
|
“(...) Debe
recordarse que un procedimiento administrativo sancionador no es un
procedimiento que se inicie a instancia de parte por el que se le reconozca o
atribuya ningún derecho o facultad a la cual pueda renunciar. La denuncia
sirve en estos casos como una puesta en conocimiento de una presunta
infracción, y en todo caso, el procedimiento se inicia de oficio por acuerdo
del órgano competente” |
||||||||||||||
|
|
||||||||||||||
|
RESOLUCIONES Abril 2022 |
||||||||||||||
|
|
||||||||||||||
|
- Licitud y
Seguridad - Sector energético |
||||||||||||||
|
#2204-01 |
Sancionan a una
empresa por modificar las condiciones del contrato de suministro sin contar
con el consentimiento del titular |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
El reclamante tiene
un contrato de suministro de electricidad con la entidad reclamada, la cual
ha realizado un cambio en las condiciones contractuales (aumento de la
potencia contratada) sin contar con su consentimiento. La entidad reclamada
manifiesta que recibió la llamada de una mujer que aseguró vivir en la
dirección del suministro, por lo que tras solicitar los datos del titular,
procedió a cambiar la potencia contratada. ha de considerarse que el
protocolo de la entidad reclamada, no alcanza los niveles de seguridad
exigidos para garantizar que el tratamiento de los datos personales sea
acorde a la normativa de protección de datos, ya que los datos requeridos por
la entidad reclamada en su protocolo de seguridad son datos (DNI, nombre y
apellidos, teléfono y dirección) que podrían estar al alcance de terceros. |
||||||||||||||
|
Arts. afectados: |
Art. 6 RGPD (Licitud
del tratamiento) y Art. 32 RGPD (Medidas de Seguridad) |
|||||||||||||
|
Resolución: |
100.000 euros y
50.000 euros |
|||||||||||||
|
Anotaciones: |
Indica la AEPD que
"al no tener un protocolo de seguridad adecuado, ha modificado la
potencia contratada sin contar con el consentimiento de su titular, es decir,
del reclamante, lo cual supone una infracción del art. 6 del RGPD". Esta
afirmación, trasladada a otros contextos supondría que toda modificación
unilateral de un contrato, con independencia del tipo de contrato que se
trate, supondría una infracción normativa de protección de datos |
|||||||||||||
|
|
||||||||||||||
|
- Incumplimiento –
Procedimiento Sancionador - |
||||||||||||||
|
#2204-02 |
Nueva sanción por no
atender a los requerimientos de la Autoridad de Control |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
En el marco de las
actuaciones de investigación, se remitieron a la parte reclamada dos
requerimientos de información, relativos a la reclamación reseñada en el
apartado primero, para que, en el plazo de diez días hábiles, presentase ante
esta Agencia la información y documentación que en ellos se señalaba. El
primero de los requerimientos no fue recogido por el Responsable, pero sí el
segundo, no obstante, respecto a la información requerida, la parte reclamada
no ha remitido respuesta alguna a la AEPD, obstaculizando con ello la
potestad de investigación de la Autoridad de Control. |
||||||||||||||
|
Arts. afectados: |
Art. 83.5.e) RGPD
(No facilitar acceso en cumplimiento de las facultades de investigación) |
|||||||||||||
|
Resolución: |
3.000 euros (1.800
euros por pago voluntario y reconocimiento de responsabilidad) |
|||||||||||||
|
|
|
|||||||||||||
|
- Licitud,
información y cookies – Página web - |
||||||||||||||
|
#2204-03 |
15.000 por una mala
adaptación normativa de la página web |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
La AEPD, de oficio,
inició un procedimiento sancionador contra el propietario de una página web
de contenido pornográfico, en relación con el posible tratamiento de datos
los personales de menores de catorce años, obtenidos durante la navegación
por la página web y el posible perfilado de los mismos. Con motivo de la
inspección de la web, la AEPD encontró diversas infracciones: |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 del RGPD
(Base de legitimación); Art. 13 del RGPD (Información al interesado); Art.
22.2 del LSSI (Consentimiento de cookies) |
|||||||||||||
|
Resolución: |
5.000 euros cada
sanción, 15.000 euros en total (9.000 euros por pago voluntario y
reconocimiento de responsabilidad) |
|||||||||||||
|
Anotaciones: |
Llama la atención
como en este procedimiento (cuyo contenido habría sido bastante interesante e
ilustrativo), la AEPD comienza requiriendo información muy concreta en
relación a la protección de los menores (gestión de riesgos por accesos
ilegítimos por menores, evaluaciones de impacto, medidas técnicas y
organizativas implantadas, limitaciones de acceso al contenido, procesos de
verificación, aclaración sobre elaboración de perfiles...), pero haya
finalizado por pago voluntario por haberse detectado inicialmente
infracciones relacionadas con cookies y él deber de información en su
Política de Privacidad |
|||||||||||||
|
- Incumplimiento –
Procedimiento Sancionador - |
||||||||||||||
|
#2204-04 |
Sancionan a una
entidad por no adoptar las medidas correctivas exigidas por la AEPD |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Con fecha 9 de
septiembre de 2021, se dictó resolución en el procedimiento sancionador
número PS/00196/2021 en el cual, además dirigir un apercibimiento, se
requería la adopción de distintas medidas. Transcurrido el plazo de 10 días
sin que se remitiera escrito alguno sobre las medidas implementadas por la
parte reclamada, se les mandó nuevo requerimiento para que acreditaran haber
adoptado las medidas correctoras oportunas, en atención a lo acordado en la
citada Resolución. No habiendo contestado al citado requerimiento, se
considera que la parte reclamada ha incumplido la resolución de la Agencia
Española de Protección de Datos con relación a las medidas que se le
impusieron |
||||||||||||||
|
Arts. afectados: |
Art. 83.6 RGPD
(Incumplimiento de las resoluciones) |
|||||||||||||
|
Resolución: |
1.000 euros (600
euros por pago voluntario y reconocimiento de responsabilidad) |
|||||||||||||
|
|
|
|||||||||||||
|
- Licitud – Redes
Sociales - |
||||||||||||||
|
#2204-05 |
Sancionan una
clínica estética por utilizar imágenes de pacientes con fines publicitarios
sin un consentimiento adecuado |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
El reclamante
contrató con la Clínica reclamada la prestación de un servicio de estética de
tratamiento Láser, iniciando el tratamiento ese mismo día. Días después, el
reclamante observó que la clínica había grabado sus imágenes en video y se
difundieron en una pantalla de la clínica y en FACEBOOK, sin contar con su
consentimiento para esos tratamientos. Ni en el contrato o clausulado que
aportó el reclamante, ni el aportado por la reclamada se contiene
consentimiento válido para la exposición o difusión de los datos a través de
imagen en video del tratamiento médico realizado al reclamante, sea en la
clínica de la reclamada, sea en su página de FACEBOOK. |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 RGPD
(Licitud del tratamiento) |
|||||||||||||
|
Resolución: |
7.000 euros (5.600
por pago voluntario) |
|||||||||||||
|
Anotaciones: |
Debe hacerse notar
el error en el que incurren tanto el reclamante como la clínica reclamada en
el procedimiento, y es que una vez presentada denuncia, es probable que ambos
llegaran a un acuerdo, presentando la reclamada un escrito de renuncia,
solicitando el archivo de la misma, escrito al que se aferra la Clínica para
archivar el procedimiento. |
|||||||||||||
|
|
||||||||||||||
|
- Licitud e
información – Página web - |
||||||||||||||
|
#2204-06 |
Sanción por no
facilitar un enlace a la Política de Privacidad en el formulario de contacto |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Sobre el tratamiento
de datos personales que se realiza en la web 1: se ha podido
constatar que la web indicada, a través del enlace <<reserva
ahora>>, el usuario puede introducir sus datos personales y para enviar
el formulario, solamente se necesita cliquear en la opción,
<<enviar>>, pero no existe, en este formulario, ninguna
información sobre la gestión que se realizará con los datos personales
obtenidos, pudiendo, el usuario, enviar el formulario sin haber leído ni
aceptado la “Política de Privacidad” de la empresa. Antes de facilitar los
datos personales y dar el consentimiento al tratamiento de estos, sería
deseable que se recomendara al interesado leer y comprender la política de
privacidad. Además, se consideraría una buena práctica recordarle al usuario
su elección de permisos y solicitar una confirmación de su consentimiento. |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 RGPD
(Licitud del tratamiento) y Art. 13 RPGD (Información al interesado) |
|||||||||||||
|
Resolución: |
500 euros (Art. 6.1
RGPD) + 500 euros (Art. 6.1 RGPD) + 1.000 euros (Art. 13 RGPD) |
|||||||||||||
|
|
|
|||||||||||||
|
- Licitud –
Entidades Bancarias - |
||||||||||||||
|
#2204-07 |
60.000 euros a
Bankia (actualmente CaixaBank) por utilizar ilegítimamente sus datos al
permitir que un tercero actuara en su nombre sin poder legal para ello |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
La reclamante
denuncia que Bankia dio de alta en fecha 26 de julio de 2018 una cuenta
corriente en la que ella figuraba como cotitular sin haber recabado su
consentimiento, al haber permitido indebidamente a tal fin que B.B.B. actuara
en su representación, considerando válido y suficiente el poder de representación
que éste exhibió para actuar en su nombre en un negocio jurídico de las
características del que ha originado la reclamación. Pese a los
requerimientos para que aportara copia del contrato de apertura de cuenta,
Bankia no aporta la copia del contrato solicitado. En su lugar, aportan copia
de la escritura pública notarial autorizada relativa al poder otorgado por la
reclamante en favor de B.B.B., en la que se otorgan poderes únicamente para
determinados bienes, distintos de los que son objeto de la reclamación. En
consecuencia, sobre la base del poder otorgado , el contrato bancario excedía
de los límites de la representación que en él se le confería, razón por la
cual el tratamiento de los datos personales de la reclamante no podía basarse
en la circunstancia legitimadora del tratamiento del artículo 6.1.b) del
RGPD, ni en ninguna otra como se ha razonado al inicio de esta exposición,
por lo que el tratamiento efectuado por la entidad reclamada vulneró el
principio de licitud |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 RGPD
(Licitud del tratamiento) |
|||||||||||||
|
Resolución: |
60.000 euros |
|||||||||||||
|
Anotaciones: |
la reclamada no
observó la diligencia necesaria para verificar si quien - según viene
afirmando desde el inicio- actuó en el acto de la celebración del negocio
jurídico en representación de la reclamante tenía otorgado a su favor un
poder que le habilitaba para actuar en ese particular contrato en representación
de ella, sin el cual no puede estimarse cumplido el principio de licitud del
tratamiento. Es cierto que la reclamada recabó del supuesto representante de
la reclamante la copia del poder que éste exhibió, lo conservó a disposición
de las autoridades competentes y ha remitido una copia a esta Agencia. Ahora
bien, la mera recepción y conservación del poder de representación es
irrelevante si no ha estado acompañada, en el momento oportuno, de su examen
y valoración y, como resultado de ese análisis, se ha concluido fundadamente
si ese poder era o no bastante para que el apoderado interviniera en un
determinado negocio jurídico en representación de su poderdante. |
|||||||||||||
|
|
||||||||||||||
|
- Confidencialidad –
Internet y redes sociales - |
||||||||||||||
|
#2204-08 |
Sancionada una
empresa al publicar en reseñas de Google el nombre de un empleado y
circunstancias sobre su sanción laboral |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Se denuncia por el
reclamado la publicación de sus datos personales en Internet por parte de la
parte reclamada, la cual, al responder a las reseñas negativas que los
clientes dejaban al establecimiento en el que trabajaba a través de Google,
la identificaba con nombre y apellidos, revelando además las circunstancias
de su sanción laboral. Constan cuatro capturas de pantalla en las que, con el
título de “Respuesta del propietario”, se visualiza la contestación a
diferentes reseñas con el mismo texto, que contiene el siguiente literal: “El
hecho de que seas amiga de A.A.A., que además de ser cesada (…), fue
sancionada de empleo y sueldo por haber cometido sendas faltas graves y muy
graves por motivos deshonrosos, según establece el convenio colectivo estatal
de hostelería, no te da derecho a dañar la reputación…”. Considera la AEPD
que se produce una doble vulneración del RGPD toda vez que el tratamiento de
datos se efectuó sin causa legitimadora, al no constar el consentimiento para
el tratamiento de dichos datos, y al revelar información y datos de carácter
personal a terceros, al responder a las reseñas negativas de los clientes en
Google, publicando el nombre y apellidos de la reclamante, así como las
circunstancias de su sanción laboral |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 RGPD
(Licitud del tratamiento) y Art. 5.1 f) RGPD (Confidencialidad) |
|||||||||||||
|
Resolución: |
1.500 euros |
|||||||||||||
|
|
|
|||||||||||||
|
- Licitud del
tratamiento – Telecomunicaciones - |
||||||||||||||
|
#2204-09 |
15.000 euros a un
encargado del tratamiento por considerar que no ha seguido las instrucciones
del Responsable |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
El reclamante
denuncia que que contrató mediante portabilidad un paquete de fibra, teléfono
fijo y móvil, en el punto de venta de la parte reclamada. Se constata que
existen otros cuatro contratos a nombre del reclamante con sus datos, en los
cuales no consta la firma del reclamante, y que con posterioridad Vodafone le
factura, manifestando que había varios contratos de financiación del
producto. Que desde el servicio de atención al cliente le envían dichos
contratos, los cuales están sin firmar, e incluso en uno de ellos aparecen
los datos de una tercera persona que no conoce de nada y sin firmar, con sus
datos y número de cuenta bancaria, en los cuales se contratan diferentes
servicios que el reclamante no ha contratado ni firmado en ningún momento. La
tienda reclamada presenta alegaciones indicando que solo ha intervenido como
distribuidor autorizado en el primero de los contratos, indicando que no
tiene constancia del resto de contratos; no obstante, Vodafone aporta dichos
contratos derivados de Ordenes de trabajo generadas por la tienda reclamada |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 RGPD
(Legitimación del tratamiento) |
|||||||||||||
|
Resolución: |
15.000 euros |
|||||||||||||
|
|
|
|||||||||||||
|
- Confidencialidad –
Sector sanitario (Covid-19) - |
||||||||||||||
|
#2204-10 |
Sanción a un
laboratorio por comunicar los resultados de una analítica de un trabajador
mediante correo con copia al jefe |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
En este caso se
trata de la salud de los empleados del Ayuntamiento de Calp, personas que
prestaban sus servicios en ayuda domiciliaria que podían estar en contacto
con el virus y voluntariamente acuden a realizarse la analítica de sangre
ofrecida gratuitamente por el Ayuntamiento a los empleados, a través de una
empresa privada de análisis clínicos. Para el tratamiento de datos de salud
no basta con que exista una base jurídica del art. 6 RGPD, sino que de
acuerdo con el art. 9.1 y 9.2 RGPD exista una circunstancia que levante la
prohibición de tratamiento de dicha categoría especial de datos (entre ellos,
datos de salud). Así, el artículo 9 del RGPD, tras establecer en su apartado
1 una prohibición general para el tratamiento de estos datos, contempla, su
apartado 2, una serie de excepciones en las que el tratamiento de los datos
es posible, cuando concurra una de las circunstancias siguientes, (se
refieren solo las que tienen relación con el caso de control de la vigilancia
de la salud o diagnóstico médico). |
||||||||||||||
|
Arts. afectados: |
Art. 5.1 f) RGPD
(Confidencialidad) |
|||||||||||||
|
Resolución: |
20.000 euros (16.000
euros por pago voluntario) |
|||||||||||||
|
Anotaciones: |
De acuerdo con la
naturaleza de la transmisión de datos, debe diferenciarse si se trata de una
comunicación de datos o la prestación de un servicio en nombre y por cuenta
de Ayuntamiento al que le presta el servicio. Para que LG pudiera ser
considerado encargado del tratamiento, debería limitar su actividad a los
términos previstos en el artículo 28 del RGPD, tratando los datos por cuenta
del responsable, de acuerdo con sus instrucciones, y cumplida la prestación
devolver los datos o destruirlos. LG, como prestador de servicios de
asistencia sanitaria ha de ser considerado un centro sanitario, definido en
el artículo 3 de la Ley 41/2002 de 14/11, básica reguladora de la autonomía
del paciente y de derechos y obligaciones en materia de información y
documentación clínica, lo que le impone determinadas obligaciones de archivo
de documentación e historia clínica. |
|||||||||||||
|
|
||||||||||||||
|
RESOLUCIONES Mayo 2022 |
||||||||||||||
|
|
||||||||||||||
|
- Licitud –
Telecomunicaciones - |
||||||||||||||
|
#2205-01 |
Nueva sanción a un
encargado de tratamiento por actuar sin seguir las instrucciones del
Responsable |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
La parte reclamante
(tienda Mi Store de Xiaomi) realizó una compra en el establecimiento de la
parte reclamada en donde registraron sus datos personales y el número de su
cuenta bancaria, le ofrecieron contratar un seguro de móvil, una tarjeta
regalo y una página de dominios o creación web “Sfam, Cyrana y Hubside” que
en el último momento decidió no contratar y le indicaron que sus datos se
borrarían. La parte reclamada cedió los datos personales de la parte
reclamante a las entidades "Cyrana, Sfam y Hubside" y durante dos
meses le efectuaron cargos en su cuenta bancaria las citadas empresas sin su
consentimiento previo, y por lo tanto procedió anular los cargos efectuados
en su cuenta bancaria. SIn embargo, no existen pruebas del alta de servicios
ni firma del contrato por la reclamante, considerandose que se efectuado un
tratamiento sin legitimación para ello. |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 RGPD
(Licitud del tratamiento) |
|||||||||||||
|
Resolución: |
5.000 euros |
|||||||||||||
|
Anotaciones: |
Se alega que, al
haber solicitado la supresión de los datos, han eliminado todos los datos de
la reclamante, incluido el contrato, sin embargo, la normativa de protección
de datos y la propia Agencia ha recordado que la supresión de datos no
conlleva el borrado automático de la información, sino un bloqueo durante el
plazo que la ley haya previsto para cada caso concreto, procediendo solo
entonces a su borrado |
|||||||||||||
|
|
||||||||||||||
|
- Destrucción –
Administración Pública - |
||||||||||||||
|
#2205-02 |
Sancionan a un
Ayuntamiento por tirar a la basura diversa documentación sin destruir y haber
regulado el servicio con un encargo de tratamiento incompleto |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Se halla por parte
de la Guardia Civil y la Policía Local documentación perteneciente al
Ayuntamiento, repartida en cuatro contenedores de papel situados en distintos
puntos de la vía publica. El Juzgado de primera instancia e instrucción 1 de
la localidad instruyó diligencias previas por el asunto, remitiendo escrito a
la AEPD, dando cuenta de los hechos y acompañando un reportaje fotográfico
con imágenes de los documentos y de los contenedores de papel y bolsas de
basura . Entre lo encontrado se hallan documentos con datos de carácter
personal como: solicitudes para el plan especial de empleo municipal para
unidades familiares sin ingresos del año 2018, fotocopias de DNI, informes de
vida laboral, expedientes de selección de personal, currículos, propuestas y
resoluciones de procedimientos sancionadores, fichas cumplimentadas a mano
sobre proyectos de formación para el plan laboral, solicitudes con datos del solicitante,
copia de certificados que contienen los datos de suministradores de productos
o servicios tales como químicos, repuestos con datos de “terceros”
conteniéndose números completos de cuenta bancarias, sus nombres y apellidos
y contactos telefónicos. |
||||||||||||||
|
Arts. afectados: |
Art. 32 RGPD
(Medidas de Seguridad) |
|||||||||||||
|
Resolución: |
Apercibimiento (Art.
77 LOPDGDD) y Completar las cláusulas y referencias en el contrato de encargo
del tratamiento |
|||||||||||||
|
|
|
|||||||||||||
|
- Información y
Minización de datos – Comunidades de Propietarios - |
||||||||||||||
|
#2205-03 |
6.000 euros a una
Comunidad de Propietarios por llevar un registro de acceso a la piscina
comunitaria |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
La reclamante
denuncia que, siendo propietaria de la vivienda desde hace 15 años, al
intentar hacer uso de la piscina comunitaria, el vigilante de seguridad
contratado por la comunidad de vecinos le solicitó que mostrase el DNI para
acceder a la piscina, a lo que ella se negó al ser propietaria y estar
correctamente identificada. Puesto en contacto con el presidente de la
comunidad, éste la manifestó que era obligatorio para acceder al recinto
presentar el DNI y que existía una ley del Ministerio de Sanidad que estaba
muy por encima de la Ley de Protección de Datos, ya que existía la
posibilidad de que se produjese un brote del “COVID”, y el Ministerio le
obligaba a pedir el DNI para poder después ponerse en contacto con los
vecinos e informales de que habían estado en contacto, por lo que, si no
enseñaba su DNI la prohibía acceder a la piscina de la comunidad.Puesto en
contacto con el administrador de la finca le manifestó que esta medida por el
“COVID19”, fue tomada exclusivamente por decisión de la Junta directiva de la
comunidad de vecinos, nunca por Junta de Vecinos, como obligatoriamente debía
de haber ocurrido. |
||||||||||||||
|
Arts. afectados: |
Art. 5.1.c) RGPD
(Minimización de datos) |
|||||||||||||
|
Resolución: |
3.000 euros (Art.
5.1.c RGPD) |
|||||||||||||
|
|
|
|||||||||||||
|
- Licitud del
tratamiento – Whatsapp - |
||||||||||||||
|
#2205-04 |
2.000 euros a un
particular por grabar una pelea y difundirla por WhatsApp |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Consta acreditado en
el presente procedimiento la grabación y posterior difusión a través de un
grupo de mensajería de la aplicación WhatsApp con doce destinatarios, de un
vídeo realizado el 26 de enero de 2021, donde es agredido el reclamante;
siendo identificable el mismo.Se solicita al Juzgado información sobre los
destinatarios de la difusión de la grabación de la agresión y copia de la
sentencia dictada, remitiéndose escrito de respuesta informando de que “el
LBV nº 27/2021 se siguió por un delito de lesiones leves sin que se hubiera
investigado hechos relativos a la difusión de imágenes, desconociendo por
tanto el alcance de la difusión a que se refiere en su escrito”. Según la
sentencia se impuso una multa de 120 euros y una indemnización al agredido en
concepto de responsabilidad civil por las lesiones sufridas de 450 euros. Por
lo tanto, se concluye que existió la agresión con denuncia ante la Guardia
Civil que terminó en Juicio por delito de lesiones leves y que, según lo
aportado en la denuncia, hubo una grabación por parte del denunciado posterior
a la agresión, lo cual constituye una infracción por falta de base legal que
habilitase dicho tratamiento |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 RGPD
(Licitud del tratamiento) |
|||||||||||||
|
Resolución: |
2.000 euros |
|||||||||||||
|
Anotaciones: |
Cabe señalar en este
caso que no se aplica el principio nonbis in idem, por cuanto el juzgado no
sanciona la grabación y difusión del video (que es lo que finalmente sanciona
la AEPD), sino la agresión sufrida. |
|||||||||||||
|
|
||||||||||||||
|
- Ejercicio de
derechos y licitud – Videovigilancia - |
||||||||||||||
|
#2205-05 |
170.000 euros a
Mercadona por eliminar imágenes de videovigilancia pese a recibir una
solicitud de acceso |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Un cliente sufre un
accidente en un establecimiento de Mercadona, y solicita acceso a las
imágenes haciendo uso de los medios que facilitan en su web. Después de un
mes sin respuesta, manda un escrito al DPD, respondiéndole que como ha pasado
más de un mes, las imágenes ya se han borrado, siendo esta la única prueba
del accidente. |
||||||||||||||
|
Arts. afectados: |
Art. 12 y 15 RGPD
(Información al interesado y derecho de acceso) y Art. 6.1 RGPD (Licitud del
tratamiento) |
|||||||||||||
|
Resolución: |
70.000 euros (Art.
12 y 15 RGPD) |
|||||||||||||
|
|
|
|||||||||||||
|
- Confidencialidad –
Sector Inmobiliario - |
||||||||||||||
|
#2205-06 |
Sancionan a una
inmobiliaria por abandonar documentación de clientes en el local que estaban
arrendados |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Se denuncia por
parte del propietario del local que alquiló a la inmobiliaria que, una vez
resuelto el contrato de arrendamiento y entregadas las llaves por parte de un
representante de la entidad (arrendatario), en el interior del local se ha
encontrado mucha documentación, supuestamente de clientes de la Inmobiliaria
LA FLORIDA (facturas, escrituras notariales originales, contratos de
compraventa, datos personales como DNI, teléfonos etc. Junto a la reclamación
aporta una pequeña parte de la documentación encontrada. En consecuencia, han
quedado indebidamente expuestos a un tercero diversos datos de carácter
personal, quedando abandonados en el local alquilado para el ejercicio de su
actividad, propiedad de la parte reclamante, vulnerando los principios de
integridad y confidencialidad. |
||||||||||||||
|
Arts. afectados: |
Art.5.1.f RGPD
(Confidencialidad) y Art. 32 RGPD (Seguridad del tratamiento) |
|||||||||||||
|
Resolución: |
2.500 euros (Art.5.1.f RGPD) |
|||||||||||||
|
Anotaciones: |
La AEPD aplica, como
agravante, además del elevado número de afectados, la vinculación de la
actividad con la realización de tratamientos, dado que se trata de una
empresa dedicada a la intermediación inmobiliaria, lo que implica el manejo
de un elevado número de datos personales, por lo que es imprescindible que se
adopten medidas apropiadas que eviten una situación como la que se sustancia
en el presente procedimiento |
|||||||||||||
|
|
|
|||||||||||||
|
- Licitud y Difusión
de datos – WhatsApp - |
||||||||||||||
|
#2205-07 |
Sancionan con 4.000
euros a una empresa por difundor datos personales por WhatsApp sin
consentimiento |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
El motivo en que
basa la reclamación es que los propietarios de la entidad INSEKT FOOD han
difundido datos personales del reclamante sin su consentimiento. En concreto
manifiesta que se han facilitado a través de la aplicación WhatsApp, en
varios chats grupales ("***CHAT.1" con 257 miembros,
"***CHAT.2" con 257 miembros, y "***CHAT.3" con 27
miembros), datos personales como su nombre y dos apellidos, dirección física
con nombre de calle y número, código postal, localidad y provincia. |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 RGPD
(Licitud del tratamiento) |
|||||||||||||
|
Resolución: |
4.000 euros |
|||||||||||||
|
|
|
|||||||||||||
|
- Incumplimiento –
Procedimiento Sancionador - |
||||||||||||||
|
#2205-08 |
El incumplimiento
del requerimiento de información por la AEPD acaba en una sanción de 30.000
euros |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
En el marco de las
actuaciones de investigación, se remitió a RAMONA FILMS un requerimiento de
información para que en el plazo de diez días hábiles presentase ante la AEPD
la información y documentación que en él se señalaba. Aunque la notificación
se practicó válidamente por medios electrónicos, se envió una copia por
correo postal qnotificada fehacientemente. En dicha notificación, se le
recordaba su obligación de relacionarse electrónicamente con la
Administración, y se le informaban de los medios de acceso a dichas
notificaciones, indicando que estaba certificada la recepción del
requerimiento efectuado por RAMONA FILMS sin que constara respuesta al mismo.
Por tanto, a raíz de las evidencias, se considera que RAMONA FILMS no ha
procurado a la Agencia Española de Protección de Datos la información que le
requirió, obstaculizando con ello las potestades de investigación de la
Autoridad de Control. |
||||||||||||||
|
Arts. afectados: |
Art. 58 RGPD
(Potestades de investigación) |
|||||||||||||
|
Resolución: |
30.000 euros (18.000
euros por pago voluntario y reconocimiento de culpa) |
|||||||||||||
|
|
|
|||||||||||||
|
- Lista Robinson –
Telecomunicaciones - |
||||||||||||||
|
#2205-09 |
Sancionado con 8.000
euros por realizar llamadas comerciales no autorizadas a línea inscrita en la
Lista Robinson |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Se presenta escrito
del afectado reclamando por la recepción de llamadas comerciales no
consentidas en su línea de telefonía móvil, estando inscrita en Lista
Robinson y que según manifiesta proceden de la empresa AHORRELUZ, con la que
jamás he tenido relación comercial alguna, aunque investigados los hechos
reclamados se determina que la entidad responsable es TIGERS. Manifiesta que
la línea llamante fue ********* los días 18/03/2021, a las 17.37h;
29/03/2021, a las 13.44h; 01/04/2021, a las 12.19h y 08/04/2021, a las
11.04h. Y la *********, en llamadas realizadas el 25/03/2021, a las 12.24h y
08/04/2021 a las 11.31h. Se confirma por la entidad operadora de estos
números en las fechas en que se realizaron las llamadas, el titular de los
números reclamados es TIGERS, el reclamado, empresa dedicada a la actividad
de telemarketing. En el supuesto presente, se ha acreditado que el reclamante
está incluido en la Lista Robinson y sin que conste que hubiera otorgado
consentimiento alguno a la reclamada para recibir llamadas comerciales |
||||||||||||||
|
Arts. afectados: |
Art. 48.1.b LGT
(Oposición a llamadas comerciales no deseadas) |
|||||||||||||
|
Resolución: |
8.000 euros (es una
única infracción) |
|||||||||||||
|
|
|
|||||||||||||
|
- Licitud y derecho–
Motores de Búsqueda - |
||||||||||||||
|
#2205-10 |
Multa récord:
Sancionan a Google con 10.000.000 de euros por cesión de datos a terceros sin
base de legitimación |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
El presente
procedimiento tiene como objeto analizar la presunta ilicitud de la
comunicación de datos personales relacionados con las retiradas de contenidos
en línea que lleva a cabo GOOGLE, bien a solicitud del afectado o a
requerimiento de alguna instancia, al “Proyecto Lumen”; así como una posible
infracción del derecho de supresión de datos personales regulado en el
artículo 17 del RGPD. Google envía toda la información de la solicitud del
ciudadano para que se incluya en la base de datos de Proyecto Lumen, la cual
es accesible al público mediante su web, lo que a efectos prácticos supone
frustrar la finalidad del ejercicio del derecho de supresión. AsimismoGoogle
no ofrece a los usuarios en su formulario una opción para oponerse a que se
publique su solicitud en el Proyecto Lumen, por lo que no existe un
consentimiento válido. Además, la política de privacidad de Google no
menciona este tratamiento de datos personales de los usuarios. |
||||||||||||||
|
Arts. afectados: |
Art. 6 RGPD (Licitud
del tratamiento) |
|||||||||||||
|
Resolución: |
10.000.000 eruos
(5.000.000 euros cada infracción) |
|||||||||||||
|
Anotaciones: |
El proyecto Lumen
consiste en la recogida y puesta a disposición, tanto de investigadores como
de personas interesadas, de solicitudes de retirada de contenido de páginas
web de dentro y fuera de Estados Unidos. Su finalidad estribaría en
contribuir a realizar un estudio lo más ecológico posible de los tipos de
solicitudes, sus solicitantes y sus receptores, potenciando la transparencia
acerca de internet. Así, se dice que tiene por objeto, como proyecto de
investigación independiente, (i) el estudio de las solicitudes de retirada o
eliminación de contenidos en línea que se formulan a editores de Internet,
motores de búsqueda y proveedores de servicios; (ii) facilitar la
investigación de sus diferentes tipos; (iii) y brindar la mayor transparencia
posible sobre quién los envía y por qué y con respecto a qué contenido en
línea; (iv) y educar al público. |
|||||||||||||
|
|
||||||||||||||
|
- Cámaras on board –
Videovigilancia - |
||||||||||||||
|
#2205-11 |
Sancionan a un
particular por colocar cámaras en el interior de su vehículo y grabar el
garaje |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Se denuncia por un
vecino de la Comunidad que un usuario ilegal del garaje comunitario ha
colocado una cámara en el interior de su vehículo, enfocando hacia el resto
de plazas de garaje comunitarias, más concretamente enfoca hacia su coche
familiar, exactamente hacia la entrada de los menores al vehículo. No dispone
de ningún cartel informativo acerca de la existencia de la cámara, ni ha
solicitado permiso a la comunidad para instalarla ni ha comunicado nada
referente a su existencia. La operatividad de la cámara se justifica con la
aportación de prueba documental que acredita la presencia del dispositivo y
la presencia de un cable entendemos a la batería del vehículo, realizando por
tanto un “tratamiento de datos” que no ha sido justificado por el reclamado
en legal forma en orden a su estudio por esta Agencia. La medida adoptada se
considera desproporcionada en orden a la protección del vehículo, pues
existen medios menos lesivos a los derechos de terceros que se ven afectados
sin causa justificada por la misma, tratándose los datos de estos, sin
información alguna al respecto. |
||||||||||||||
|
Arts. afectados: |
Art. 5.1.c) RGPD
(Minimización de datos) |
|||||||||||||
|
Resolución: |
1.500 euros |
|||||||||||||
|
|
|
|||||||||||||
|
- Licitud del
tratamiento – Redes Sociales - |
||||||||||||||
|
#2205-12 |
La publicación de
una fotografía sin consentimiento en Facebook es sancionada con 2.000 euros |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Se presenta
reclamación por parte del Ayuntamiento de Ponteareas, aportando Actas
Denuncias emitidas por la Policita Local en las que pone de manifiesto que la
reclamada realizó fotografías con su teléfono móvil, sin consentimiento, a un
grupo de menores que estaban en la vía pública y a los agentes de la Policía
Local, y subió parte de dichas imágenes a su cuenta personal de la red social
FACEBOOK. La documentación obrante en el expediente evidencia que la
reclamada vulneró el artículo 6.1 del RGPD, puesto que trato los datos
personales grupo de |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 RGPD
(Licitud) |
|||||||||||||
|
Resolución: |
2.000 euros |
|||||||||||||
|
Anotaciones: |
Son circunstancias
agravantes en este supuesto: |
|||||||||||||
|
|
||||||||||||||
|
- Demandante de
empleo – Ficheros de Solvencia Patrimonial - |
||||||||||||||
|
#2205-13 |
70.000 euros por
consultar el fichero de solvencia patrimonial de un candidato en un proceso
de selección |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Denuncia el
reclamante que la empresa Alquiler Seguro SA ofertaba a través de InfoJobs un
puesto para abogado, en el cual se inscribió el reclamante. La empresa, antes
de llamarle, hizo previamente una consulta a Asnef para conocer su situación
en dicho fichero. Semanas más tarde, tras realizar algunas gestiones con
Asnef, dicha entidad le remite un histórico de consultas efectuadas en
relación a su persona, y en la que aparece la consulta de Alquiler Seguro. Se
considera que Alquiler Seguro ha consultado dichos datos personales no para
valorar la situación patrimonial a raíz de una futura relación comercial, de
crédito o de pago periódico o aplazado (siendo la finalidad del tratamiento
del fichero), sino que lo realizó en el marco de un proceso de selección de
personal. En ningún momento se recabó el consentimiento para efectuar la
consulta, ni se informó tampoco de qué hicieron dicha consulta. |
||||||||||||||
|
Arts. afectados: |
Art. 6.1 RGPD
(Licitud del tratamiento) |
|||||||||||||
|
Resolución: |
70.000 euros (42.000
euros por pago voluntario y reconocimiento de culpa) |
|||||||||||||
|
Anotaciones: |
La parte reclamada
en los procesos de selección de candidatos consulta el fichero Asnef
empresas, siendo que el artículo 20 (sistemas de información crediticia) de
la LOPDGDD, establecen criterios de prevalencia del interés legítimo en el
tratamiento de los datos de las personas físicas en los sistemas de
información crediticia, sean profesionales liberales, empresarios
individuales o no. De aquí que en este caso concreto no podría ser el interés
legítimo, porque no se cumplen los criterios del art. 20 de la LOPDGDD, el
responsable no indica cuál es su interés legítimo ni aporta una ponderación
que permita acreditar la prevalencia del interés legítimo y tampoco se
facilita información al reclamante sobre la posibilidad de consulta, por lo
que dentro de sus expectativas razonables no se encuentra la de que consulten
sus datos. |
|||||||||||||
|
|
||||||||||||||
|
- Minimización de
datos – Hostelería - |
||||||||||||||
|
#2205-14 |
Sancionan con 2.000
euros a un restaurante por haber solicitado el número de teléfono para emitir
una factura |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
La parte reclamante
manifiesta que tras consumir en un restaurante propiedad de la parte
reclamada, solicitó la emisión de una factura a su nombre, solicitándole el
encargado el dato de su número de teléfono que, al ser una información no
necesaria para la emisión de la factura, se negó a aportarlo, supeditando la
parte reclamada su emisión, al hecho de facilitar el dato de su número de
teléfono. Se aporta copia de la factura simplificada emitida y la hoja de
reclamaciones donde la parte reclamada manifiesta que pide dicho dato para
emitir la factura, al ser un |
||||||||||||||
|
Arts. afectados: |
Art. 5.1 c) RGPD
(Minimización de datos) |
|||||||||||||
|
Resolución: |
2.000 euros (1.600
por pago voluntario) |
|||||||||||||
|
|
|
|||||||||||||
|
- Cartelería y
minimización – Videovigilancia - |
||||||||||||||
|
#2205-15 |
3.000 euros a un
restaurante por tener cámaras enfocando a la vía pública y sin cartel
informativo actualizado |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|||||||||
|
Los hechos traen
causa de una reclamación por medio de la cual se traslada la colocación de
cámaras de videovigilancia escondida entre las plantas, estando la misma
enfocando a la vía pública y a la puerta de entrada de la vivienda del
denunciante. Informa el reclamante que tuvieron conocimiento de la existencia
de dichas cámaras por el mismo reclamado, debido a que les envía un WhatsApp
expresando que tiene cámaras grabando las 24 horas. Se adjunta captura de
pantalla de dicha conversación, así como prueba documental que acredita la
presencia del dispositivo e imágenes obtenidas del dispositivo en cuestión.
El reclamado argumenta que la instalación de videocámaras obedece a motivos
de seguridad por robos, no obstante, no se ha aportado documentación alguna
que acredite la realización de robos u otro tipo de actos que justifiquen la
presencia de las cámaras. |
||||||||||||||
|
Arts. afectados: |
Art. 5.1.c RGPD
(Minimización de datos) |
|||||||||||||
|
Resolución: |
2.000 euros (Art. 5.1.c RGPD) |
|||||||||||||
|
Anotaciones: |
Indica la AEPD que
El hecho de que el titular de la actividad hostelera disponga de una Licencia
de terraza, no justifica la instalación de un sistema de video-vigilancia que
controle el ancho del espacio público, siendo esta una tarea reservada a las
Fuerzas y Cuerpos de Seguridad de la Localidad, que son los que han de
video-vigilar en su caso el espacio público. Se recuerda que las cámaras
deben estar orientadas (vgr en el caso de la tienda) a lo sumo a la fachada
de la misma para evitar a modo orientativo la rotura del escaparate o hacia
los principales puntos de acceso a la misma, mientras que las interiores
deben estar señalizadas con cartel informativo indicando la presencia de las
mismas a los potenciales clientes (as) del mismo. |
|||||||||||||
|
|
||||||||||||||
|
RESOLUCIONES Junio 2022 |
||||||||||||||
|
|
||||||||||||||
|
- Derecho de Acceso
- Documentación Clínica - |
||||||||||||||
|
#2206-01 |
La AEPD concede el
derecho de acceso a la historia clínica de la madre fallecida del interesado |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|
|
|
|
|
||||
|
La parte reclamante
ejerció el derecho de acceso a la historia clínica de su madre fallecida
frente al reclamado. La parte reclamada le deniega su solicitud con los
siguientes argumentos: "…no se facilitará información que afecte a la
intimidad del fallecido ni a las anotaciones subjetivas de los profesionales,
ni que perjudiquen a terceros…"; El reclamante reitera su petición
mediante burofax, siendo nuevamente denegada su solicitud. |
||||||||||||||
|
Arts. afectados: |
Art. 15 RGPD
(Derecho de Acceso) |
|||||||||||||
|
Resolución: |
Estimación de la
solicitud |
|||||||||||||
|
|
|
|||||||||||||
|
- Aplicaciones – Administración
Pública - |
||||||||||||||
|
#2206-02 |
Sancionan a la
Secretaria de Estado de Digitalización e Inteligencia Artificial y a la
Dirección General de Salud Pública por la aplicación Radar COVID |
|||||||||||||
|
PROCEDIMIENTO |
|
|
|
|
|
|
|
|||||||
|
Radar COVID es una
aplicación para dispositivos móviles que promueve la salud pública mediante
un sistema de alerta de contagios por la COVID-19. Se ha constatado que se
recopiló información agregada de los usuarios de la aplicación, tanto de las
personas que la descargaban, como de las personas que asumían el papel de
casos positivos o recibían notificaciones de alerta de riesgo de contagio. |
||||||||||||||
|
Arts. afectados: |
Art. 5.1.a) RGPD
(Licitud, lealtad y transparencia) |
|||||||||||||
|
Resolución: |
Apercibimiento (Art.
77 LOPDGDD) |
|||||||||||||
|
Anotaciones: |
Los datos de
proximidad son datos mediante a los que se localiza a un sujeto y son, per
se, datos personales. Así se pone de manifiesto en las Directrices del Comité
Europeo de Protección de Datos (CEPD) 04/2020 sobre el uso de datos de
localización y herramientas de rastreo de contactos en el contexto de la
pandemia de COVID-19. La dirección IP también es un dato de carácter
personal. Esta cuestión se encuentra plenamente resuelta, citando al efecto,
y, por todos, los informes 327/2003 o 213/2004 del Gabinete Jurídico de la
AEPD |
|||||||||||||