Noticias \ RSM20220812 - Resoluciones Relevantes


Noticias

Desistimiento, publicidad, delegado de protección de datos, videovigilancia, recogida de información, páginas web, drones...

“(...) la regulación de la Unión Postal Universal (UPU), conformada por el Convenio UPU y el Reglamento del Convenio UPU (...) establecen la posibilidad de sujetar las declaraciones de aduanas en el exterior del envío dentro de un sobre transparente”
"(La) falta de prueba pericial no impide reconocer la afectación de los derechos a la intimidad y a la protección de datos personales del demandante por el anormal funcionamiento de los servicios públicos, si bien la valoración económica del consiguiente daño moral depende de la discrecionalidad de la Sala en atención a lo alegado por la parte actora y a lo acreditado en relación con las particulares circunstancias del caso"
(ABL)

RESOLUCIONES 27/06/22 - 29/07/22

- Licitud del tratamiento – Sector Telecomunicaciones

#01

15.000 € a Telefónica por llevar a cabo una contratación pese al desistimiento del usuario

PROCEDIMIENTO

PS/00017/2022

 

La parte reclamante manifiesta que se ha celebrado un contrato a su nombre con la parte reclamada de manera fraudulenta y sin su consentimiento, hecho del que tiene conocimiento tras recibir facturas asociadas al mismo en su domicilio y cursarse el pago en su cuenta bancaria. Consta en los sistemas de la parte reclamada que el 13 de noviembre de 2020 solicitó la parte reclamante la portabilidad de la línea para contratar Fusión de dicha línea con línea móvil. Finalmente el reclamante desiste de la portabilidad solicitada, y confirma la anulación. No obstante, y debido a un error administrativo, el gestor anula el pedido de la línea fija, pero no desactiva la nueva línea móvil vinculada al mismo pedido. La parte reclamada reconoce que, a raíz del requerimiento de información de esta Agencia, tras analizar los registros en sistemas y la falta de uso de la línea sobre la que cursa la reclamación, descarta la posibilidad de suplantación, atribuyendo la incidencia a un error administrativo al no dar de baja la línea móvil generada para el contrato FUSIÓN una vez que la reclamante desistió de dicho contrato, reconociendo el propio operador que no disponía de base de legitimación para tratamiento alguno más allá de la baja contractual.

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

15.000 €

 

 

******

- Confidencialidad – Laboral -  

#02

Sanción por comunicar al Comité de empresa información personal excesiva

PROCEDIMIENTO

PS/00290/2021

 

Se denuncia por la Unión Sindical Obrera que la empresa EFS comunica situaciones laborales suyas al Comité de Empresa sin justificación alguna y con el ánimo de perjudicarla. Junto a la reclamación aporta copia del escrito de remisión por parte de EFS al Comité de Empresa, al que se adjunta copia de la carta entregada a la RECLAMANTE relacionada con la solicitud de horas sindicales, donde se refleja que no formuló adecuadamente la petición y el servicio se vio afectado y en la que se le requiere que cuando formule las solicitudes de crédito horario verifique si efectivamente lo solicitado se corresponde con lo realmente necesitado. En la carta remitida al Comité de Empresa aparecen el nombre, apellidos y nº de DNI de la RECLAMANTE, así como información relativa a solicitud de créditos horarios y a turnos de trabajo no cumplidos. EFS responde que la comunicación se ha realizado de conformidad con el art. 64 del Estatuto
de los Trabajadores, para dar cumplimiento a los derechos de información y consulta del Comité de Empresa, y su derecho a ser informados sobre el índice de absentismo en la empresa.
El art. 64.1 no está estableciendo el derecho del Comité de Empresa de ser informado sobre absolutamente cualquier cuestión que afecte o pueda afectar al trabajador, sino en la forma y en la medida que desarrolla el mismo. De la misma manera, no procede tampoco ampararse en su derecho a ser informados sobre el absentismo en la empresa, pues el precepto se refiere al índice de
absentismo, es decir, a información estadística y no a las faltas de asistencia de un trabajador en concreto, por tanto, se ha infringido el deber de confidencialidad al comunicar al Comité de Empresa datos personales como el DNI y datos relativos a posibles incumplimientos horarios.

Arts. afectados:

Art. 5.1.f) RGPD (Confidencialidad)

Resolución:

1.000 € (800 por pago voluntario)

 

 

******

- Consentimiento – Comunicaciones comerciales -  

#03

Sanción por remitir publicidad por correo electrónico sin el consentimiento del afectado

PROCEDIMIENTO

PS/00179/2022

 

La recepción de una comunicación comercial no consentida a través de correo electrónico el día el 22 de diciembre de 2021 a las 12:06 horas, recibido en su dirección electrónica de correo. El reclamante manifiesta que jamás ha existido un contacto previo con la empresa reclamada y que tras indicarles por correo electrónico su oposición a la recepción de spam, recibe un nuevo correo pocas horas después, el 22 de diciembre de 2021 a las 16:44 horas, en el que alguien que se identifica como B.B.B., le informa que es consultor energético responsable de su zona en Thunder Hunter y que está contactando con las principales empresas de su sector para presentarles la mejor manera de optimizar sus facturas de luz y gas.
Visto el contenido de las comunicaciones, y teniendo en cuenta que el reclamante manifiesta que jamás ha existido un contacto previo con la empresa reclamada y que la parte reclamada pone
de manifiesto que está contactando con las principales empresas de su sector para presentarles la mejor manera de optimizar sus facturas de luz y gas, es clara la vulneración de la normativa aplicable.

Arts. afectados:

Art. 21.1 LSSI (Consentimiento comunicaciones comerciales)

Resolución:

1.000 € (600 € por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Delegado de Protección de Datos – Administración Pública -  

#04

Sanción a Ayuntamiento por seguir sin nombrar un DPO pese a los requerimientos de la AEPD

PROCEDIMIENTO

PS/00131/2022

 

Con fecha 25 de junio de 2021, por la Directora de la AEPD se dictó resolución en el procedimiento sancionador número PS/00079/2021, seguido contra el AYUNTAMIENTO DE MONESTERIO en la que se le requiere para que proceda a nombrar un Delegado de Protección de Datos. Tras el transcurso del plazo indicado sin que en esta Agencia se hubiera recibido escrito alguno sobre las medidas implementadas, se remitieron a la parte reclamada dos requerimientos de información para que, en el plazo de un mes, acreditaran ante esta Agencia haber adoptado las medidas correctoras oportunas. No obstante, no se han tenido noticias del nombramiento ni la reclamada ha presentado alegaciones, por lo que se tiene por incumplido el anterior mandato.

Arts. afectados:

Art.  58.2.d) RGPD (Incumplimiento de mandatos)

Resolución:

Apercibimiento (Art. 77 LOPDGDD)

 

 

******

- Confidencialidad – Comunidad de Propietarios -  

#05

5.000 € a comunidad de propietarios por publicar nombre de vecinos en página web de acceso público

PROCEDIMIENTO

PS/00486/2021

 

El motivo en que basa la reclamación es la publicación por parte del Presidente de la Comunidad de Propietarios en la página Web ***URL.1, informaciones que contienen los datos personales de varios propietarios, entre los que se encuentran los de la reclamante (nombre, apellidos, piso), uniéndose con posterioridad otros vecinos a la reclamación. Junto a las reclamaciones se aportan copias de las publicaciones realizadas en la página web mencionada en las que constan los datos personales de los reclamantes, así como los requerimientos al Presidente de la Comunidad de Propietarios solicitando la eliminación de dichas publicaciones. Dichas publicaciones no se hacen en la sección restringida de la página web a la que únicamente pueden acceder los propietarios.
En el presente caso, los datos personales de los reclamantes, obrantes en la base de datos de la COMUNIDAD DE PROPIETARIOS, fueron indebidamente expuestos a terceros, mediante su publicación en la sección abierta de la página web de la comunidad de propietarios ***URL.1, a la que cualquiera puede acceder; ya que, su acceso no requiere registro previo, careciendo de las medidas de seguridad básicas.

Arts. afectados:

Art. 5.1.f) RGPD (Confidencialidad)
Art. 32 RGPD (Medidas de Seguridad)

Resolución:

2.500 € cada infracción
5.000 € en total

 

 

******

- Derecho de Oposición – Comunicaciones Comerciales -  

#06

5.000 € a una clínica por enviar publicidad por SMS y no tramitar las bajas solicitadas

PROCEDIMIENTO

PS/00631/2021

 

La reclamante recibía SMS con publicidad de la clínica CARTERA VIVANTA, en los cuales, se indicaba que para ejercer el derecho de oposición debía escribir un correo al DPD de la entidad, rgpd@vivanta.es, al cual escribió el 22/07/21 solicitando la baja de los sistemas de la clínica para recibir nuevos SMS publicitarios. En un primer momento respondieron que procedían a gestionar la baja, pero siguió recibiendo publicidad vía SMS días más tarde; tras lo que volvió a escribir al DPD el mismo día, sin recibir respuesta alguna. Semanas más tarde, volvió a recibir un nuevo SMS publicitario, tras lo cual, volvió a enviar un correo electrónico al DPD de la clínica denunciando que seguía recibiendo SMS publicitarios sin su consentimiento, sin recibir tampoco ningún tipo de respuesta por parte de la entidad, volviendo a recibir dos nuevos SMS publicitarios. Alega la reclamada que, debido a un fallo técnico, que ya fue solventado, el número de teléfono de la reclamante se quedó grabado en la memoria “caché” del CRM y éste continuó enviando alguna comunicación comercial los días siguientes.
Los hechos expuestos suponen la vulneración del artículo 21 de la LSSI, por parte de la entidad reclamada, al seguir enviando a la reclamante SMS publicitarios sin su consentimiento.

Arts. afectados:

Art. 21 LSSI (Envío de comunicaciones comerciales)

Resolución:

5.000 €

 

 

******

- Confidencialidad – Laboral -  

#07

5.000 € de multa por asignar a un nuevo trabajador el mismo correo de un antiguo empleado

PROCEDIMIENTO

PS/00581/2021

 

La reclamante fue contratada para sustituir a la tutora de unos cursos que imparte la entidad CEUPE -ESTUDIOS EUROPEOS DE POSTGRADO Y EMPRESA, S.L. Para desarrollar esta actividad le facilitaron una cuenta de correo electrónico corporativa, la cual pertenecía a la persona a la que sustituía. La reclamante manifiesta que a través de la cuenta asignada podía acceder a todos los correos remitidos y recibidos por la anterior trabajadora, constando entre ellos los datos tributarios y de facturación a terceros con todos sus datos personales, teléfonos dirección, cuenta bancaria. El centro, por su parte, señala que el correo electrónico es de uso exclusivamente profesional, y que se les entrega cuando se les asigna un grupo de alumnos a los que formar. Esta cuenta de correo electrónico está asignada a este grupo de alumnos exclusivamente y cuando se cambia de tutor lo único que se procede es a dar de baja al anterior tutor y de alta al nuevo, pero manteniendo esta misma cuenta de correo electrónico. Este procedimiento debe de ser así ya que el nuevo tutor debe de poder acceder a todas las consultas de los alumnos que han realizado al anterior tutor. Se tratan de correos “corporativos” propiedad de CEUPE, y por tanto no son de ningún tercero, habiendo sido utilizado en todo momento para el uso y ámbito laboral y de la actividad de la empresa, y que la irregularidad en su uso es responsabilidad de cada propio usuario.
Si bien el acceso a los datos por parte de la reclamante lo fue en el ejercicio de su actividad laboral y como necesidad para el ejercicio de sus tareas, la parte reclamante acredita haber tenido acceso a datos de carácter personal que no eran los necesarios para el ejercicio de dicha actividad, tales como el historial completo desde el año 2017, de los correos electrónicos de la empleada a la que sustituía, con datos de alumnos de cursos pasados, datos de facturas, certificados de retenciones de la anterior empleada, teléfono, domicilio, lo cual es constitutivo de una infracción del deber de confidencialidad de la entidad

Arts. afectados:

Art. 5.1.f) RGPD (Confidencialidad)
Art. 32 RGPD (Medidas de Seguridad)

Resolución:

3.000 € (Art. 5.1.f RGPD)
2.000 € (Art. 32 RGPD)
5.000 € en total (3.000 € por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Minimización de datos - Videovigilancia -

#08

Archivo de procedimiento contra particular con cámaras de videovigilancia con máscara de privacidad

PROCEDIMIENTO

PS/00492/2021

 

La reclamante pone de manifiesto la instalación de, al menos, cinco cámaras de videovigilancia en lo que sería una serventía de acceso, captando así imágenes de esta y de zonas exteriores. No obstante, se aporta por el reclamado escrito indicando que no se encuentra captando imágenes desproporcionadas, por cuanto se circunscribe al ámbito privado”, aportando como prueba de ello la impresión de pantalla de lo que captan las cámaras, donde se puede observar que enfocan a espacio privativo del reclamado, estando dos de ellas están enmascaradas, lo que impide la captación de imágenes de las fincas colindantes. Por lo tanto, concluye la AEPD que está demostrado documentalmente que las cámaras de videovigilancia no solo están instaladas en terrenos de su propiedad, sino que, además, están direccionadas a su espacio privativo y disponen de máscaras de privacidad que hacen imposible captar imágenes de las fincas colindantes.

Arts. afectados:

Art. 5.1.c) RGPD (Minimización de datos)

Resolución:

Archivo de actuaciones

 

 

******

- Confidencialidad - Servicios de Mensajería -

#09

Archivo de procedimiento contra una farmacia que adjunta la factura en el exterior del paquete

PROCEDIMIENTO

PS/00329/2021

 

La reclamante pone de manifiesto la adquisición a la entidad MIFARMA una serie de productos sanitarios, entre ellos test de embarazo y ovulación. De dicha compra se adjunta por la entidad factura con sus datos identificativos y compra, pedido que posteriormente fue remitido a través del Servicio de Correos mediante paquete postal, adhiriendo la factura del pedido al exterior del paquete, en un sobre transparente, con la información contenida en la misma visible, exponiéndolos según indica la reclamada, a todas aquellas personas que hayan participado en el envío. No obstante, para el presente caso, todas las personas intervinientes que acceden a la información correspondiente al envío en cuestión, entre la que figura la factura que ha motivado la reclamación, pertenecen a la entidad encargada de aquellas tareas, como empresa transportista y como operador ante la Agencia Tributaria Canaria. Todas estas personas, empleadas del Servicio de Correos, están sometidas al deber de confidencialidad, que es una obligación complementaria del deber de secreto profesional, la cual incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento, y que tiene como finalidad evitar que se realicen filtraciones de los datos personales no consentidas por sus titulares.

Arts. afectados:

Art. 5.1.f) RGPD (Confidencialidad)

Resolución:

Archivo de actuaciones

Anotaciones

Esta forma de operar para los envíos realizados a las Islas Canarias es la adecuada conforme a las normas relativas a la formalización de los trámites aduaneros en envíos de bajo valor y se ajusta a las instrucciones del Servicio de Correos, según la regulación de la Unión Postal Universal (UPU), conformada por el Convenio UPU y el Reglamento del Convenio UPU, que establecen la posibilidad de sujetar las declaraciones de aduanas en el exterior del envío dentro de un sobre transparente, así como la obligación de detallar el contenido del envío en esas declaraciones y la obligación de los operadores designados de informar a sus clientes sobre la manera de llevar a cabo las formalidades aduaneras.

******

- Minimización de datos – Videovigilancia -

#10

500 € por tener instalada una cámara particular enfocando a otra plaza de garaje

PROCEDIMIENTO

PS/00593/2021

 

En el presente caso, existiendo se denuncia por el reclamante la instalación de una cámara de vigilancia camuflada entre la celosía de la fachada de la vivienda propiedad del Sr. B.B.B. que está enfocando a las zonas comunes y en dirección al parking propiedad del reclamado. Dado que el reclamado no ha presentado alegaciones ni pruebas que contradigan los hechos denunciados, se considera probado que el reclamado tiene instalada una cámara de videovigilancia en uno de los huecos de la celosía de su garaje, con la que estaría captando imágenes de las zonas comunes de la urbanización, así como del parking propiedad de la reclamante. En este caso, habida cuenta que el reclamado ya había sido objeto de sanción en el PS/00019/2020, por los mismos hechos, se considera oportuno la imposición de una sanción económica, y no un apercibimiento.

Arts. afectados:

Art. 5.1.c) RGPD (Minimización de datos)

Resolución:

500 €

 

 

******

- Recogida de datos - Locutorios -

#11

Sanción de 1.000 € por no informar del tratamiento de datos al recoger la información de los interesados

PROCEDIMIENTO

PS/00565/2021

 

Denuncia la Jefatura Superior de Policía del País Vasco que los clientes de un locutorio se vieron forzados a facilitar sus datos personales (tanto de manera escrita como aportando copia de su documentación identificativa) para que pudiesen reservarles cita previa para la tramitación de documentación de la Policía Nacional. Se indica que el locutorio reclamado incumplió el principio de transparencia de la información o el derecho de información del afectado al no facilitar a sus clientes toda la información exigida por los artículos 13 y 14 del Reglamento General de Protección de Datos.

Arts. afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

1.000 €

 

 

******

- Política de privacidad y cookies – Página Web -  

#12

Siguen las infracciones por mala adaptación de la normativa de protección de datos en páginas web

PROCEDIMIENTO

PS/00132/2022

 

a). - Sobre la obtención de los datos personales de los usuarios: En el formulario de contacto de la web se recogen datos personales. Para enviar el formulario, el usuario solo debe cliquear la opción <<enviar>>. No existe ningún tipo de posibilidad de proporcionar el consentimiento necesario para el tratamiento de los datos personales ofrecidos y ni la posibilidad de leer y aceptar su política de privacidad.
b). - Sobre la “Política de Privacidad”: Desde su apartado de Privacidad, la web despliega un banner con información referente al almacenamos y procesos de datos personales para anuncios y contenido personalizados, medición de anuncios y del contenido e información sobre el público, así como para desarrollar y mejorar productos. Sin embargo, no se proporciona información sobre la identidad y los datos de contacto del responsable y, en su caso, de su representante; los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; los intereses legítimos del responsable o los derechos que asisten al usuario de la página en relación al tratamiento de sus datos personales.
c). - Sobre las Cookies: Al entrar en la página principal y sin realizar ninguna acción sobre la mimas ni aceptar las cookies, se utilizaban cookies no necesarias de terceros (de Google) que no son técnicas o necesarias. el banner de la primera capa posibilita aceptar todas las cookies o gestionarlas en el panel de control. No obstante, si se accede al panel de control y se opta por “rechazar todas las cookies”, en la opción existente se comprueba como la web sigue utilizando cookies de terceros que no son técnicas o necesarias. Asimismo, la información sobre cookies que se proporciona en el panel de control no identifica las cookies utilizadas en la web, ni su misión, ni el tiempo que estarán activas, solamente se informa de forma genérica de la misión que tienen las cookies.

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)
Art. 13 RGPD (Información al interesado)
Art. 22.2 LSSI (Consentimiento de cookies)

Resolución:

3.000 € (1.000 € por infracción), 1.800 € en total por pago voluntario y reconocimiento de culpa

 

 

******

- Licitud del tratamiento – Grabación -  

#13

3.000 € a empresa de drones por grabar partidos sin contar con legitimación para ello

PROCEDIMIENTO

PS/00313/2021

 

La conducta presuntamente infractora atribuida al reclamado se concretan en el tratamiento sin legitimación de menores de edad, jugadoras federadas pertenecientes a categoría infantil de futbol 7, entre las que se encuentra la hija del reclamante, mediante la grabación a través de tecnología dron y la visualización posterior por los usuarios registrados a través de la aplicación propiedad del reclamado de las imágenes sin contar con el consentimiento para su tratamiento ni ninguna otra habilitación que lo legitime. Se aporta por el reclamado un contrato suscrito con la Real Federación de Fútbol de Madrid, en el que se especifica que, dada la naturaleza del contrato, ninguna de las partes será considerada encargada del tratamiento.
El reclamado manifiesta que el tratamiento de los datos de los menores no tiene por qué fundarse únicamente en la existencia del consentimiento, sino que puede realizarse en base al contrato o al interés legítimo. En este sentido, se pronuncia la AEPD en relación a las bases de legitimación aplicables que:
- No se ha acreditado el consentimiento con todos los requisitos exigidos en el art. 7 RGPD por parte de los progenitores para el tratamiento de los datos de la menor
- Respecto a la relación contractual, debe diferenciarse entre el acceso a la aplicación para la visualización del contenido mediante el pago de un precio, y la autorización para la grabación de partidos y tomas de fotos
- Por último, respecto al interés legítimo, debe superar el triple juicio de proporcionalidad, siendo contrarios a los principios de necesidad y de proporcionalidad el tratamiento efectuado de los datos de los menores, especialmente cuando la finalidad perseguida es la obtención de un interés económico. Además, no puede obviarse que el reclamante no mantiene relación con el reclamado; que los destinatarios de la grabación son clientes que a cambio de un precio visionan en privado las imágenes obtenidas, con independencia de que sean o no padres de las jugadoras; razones para que el tratamiento no debiera de haberse producido.

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

3.000 €

 

 

******

- Administración Pública - Transparencia -

#14

Sancionado el Ministerio de Justicia por publicar la lista de admitidos/no sin seudonimizar los datos

PROCEDIMIENTO

PS/00046/2022

 

El 18 de febrero de 2019, se publicó en el portal web del Ministerio de Justicia el listado de aspirantes admitidos y excluidos para realizar la primera prueba de evaluación de aptitud profesional para el ejercicio de la abogacía para el año 2019, cuya publicación incluyó el DNI completo de los interesados, entre ellos el del reclamante. Advertida dicha circunstancia, la parte reclamada, el 1 de marzo de 2019, retiró la referida publicación del portal de dicho Ministerio, procedió a la notificación del incidente a la Agencia Española de Protección de Datos, y se sustituyó en la página web el listado publicado por otro sin los datos de identidad completos. Si bien inicialmente el procedimiento fue archivado por falta de pruebas, con posterioridad se presentó sentencia de la Audiencia Nacional sobre reclamación de cantidad por el funcionamiento anormal de los servicios públicos contra el Ministerio de Justicia, en la que se condena a ese Ministerio al pago de 5000 € a la parte reclamada

Arts. afectados:

Artículo 5.1.f) del RGPD

Resolución:

Apercibimiento (Art. 77 LOPDGDD)

Anotaciones:

La referida sentencia es la SAN 1385/2021, y puede localizarse a través del siguiente enlace https://www.poderjudicial.es/search/AN/openDocument/3f9689124ddf04fb/20210512

En este sentido, es necesario resaltar lo indicado por el Tribunal, expresando: "La publicación del DNI en las circunstancias de referencia se hizo con vulneración de la disposición adicional 7ª de la LO 3/2018 y afectación de los derechos del demandante a la intimidad y a la protección de datos personales, […]. Dicho lo anterior, el demandante ha sido lesionado en sus derechos a la intimidad y a la protección de sus datos personales, lo que por su evidencia no precisa de una prueba adicional. Ahora bien, cuestión distinta es la prueba del daño alegado. A este respecto en la demanda se propuso una prueba pericial sobre el alegado daño moral, cuya prueba fue denegada por los términos en que se propuso, siendo consentida la correspondiente resolución denegatoria. Esta falta de prueba pericial no impide reconocer la afectación de los derechos a la intimidad y a la protección de datos personales del demandante por el anormal funcionamiento de los servicios públicos, si bien la valoración económica del consiguiente daño moral depende de la discrecionalidad de la Sala en atención a lo alegado por la parte actora y a lo acreditado en relación con las particulares circunstancias del caso".

******

- Minimización de datos y Cartelería - Videovigilancia -

#15

Continúan sanciones en videovigilancia por enfocar a la vía pública y no disponer de cartel informativo

PROCEDIMIENTO

PS/00607/2021

 

Se denuncia por parte de la Guardia Civil de Villablanca que el reclamado es responsable de un sistema de videovigilancia con cámaras orientadas a la vía pública, y que éste no tiene debidamente señalizados mediante los preceptivos carteles informativos de zona videovigilada. Aporta informe en el que se pone de manifiesto que esos mismos incumplimientos ya fueron detectados con anterioridad, denunciados ante esta Agencia, y que les consta escrito de la AEPD en el que se comunicaba a la Guardia Civil que se había informado al denunciado de sus obligaciones en lo relativo a la protección de datos personales sin que el ahora denunciado haya procedido a corregir dichos incumplimientos. Dado que el reclamado no ha presentado alegaciones ni pruebas que contradigan los hechos denunciados en el plazo dado para ello, se considera que es responsable de un sistema de videovigilancia con cámaras orientadas a la vía pública, y que éste no tiene debidamente señalizados mediante los preceptivos carteles informativos de zona videovigilada, lo que conlleva una doble infracción de la normativa vigente de protección de datos.

Arts. afectados:

Art. 5.1 c) RGPD (Minimización de datos)
Art. 13 RGPD (Información al interesado)

Resolución:

300 € cada infracción
Total: 600 €

 

 

******

- Minimización de datos y Cartelería - Videovigilancia -

#16

600 € a particular por tener cámaras enfocando a una servidumbre de paso y con el cartel incompleto

PROCEDIMIENTO

PS/00600/2021

 

D. A.A.A. formula reclamación contra Dª B.B.B., por la instalación de un sistema de videovigilancia instalado con cámaras orientadas hacia el camino de acceso que comparten las propiedades de las partes. El reclamante manifiesta que su vivienda se encuentra ubicada en una zona residencial donde el acceso a la misma se lleva a cabo a través de una servidumbre de paso, siendo el predio sirviente de la reclamada, la cual ha instalado cámaras de videovigilancia en su finca, orientadas a dicha servidumbre de paso, y a la vivienda del reclamante, sin que, por otro lado, haya instalado carteles de zona videovigilada en los que se precise quién es el responsable del tratamiento y cómo ejercitar los correspondientes derechos en materia de protección de datos.

Arts. afectados:

Art. 5.1 c) RGPD (Minimización de datos)
Art. 13 RGPD (Información al interesado)

Resolución:

300 € cada infracción
Total: 600 €

 

 

******

- Confidencialidad y brechas de seguridad - Aseguradoras -

#17

220.000 € a una aseguradora por remitir autorizaciones de pruebas médicas a terceros

PROCEDIMIENTO

PS/00080/2022

 

Se denuncia por la reclamante la recepción en su dirección de correo electrónico, en numerosas ocasiones, autorizaciones de pruebas médicas de terceros que no conoce. En algunos casos se incluye el tipo de prueba diagnóstica. Cada vez que ha recibido una autorización lo ha comunicado, reenviando el correo a la entidad (autorizaciones y atención al cliente). No se ha solventado y sigue recibiendo autorizaciones que no le corresponden. Junto a la reclamación aporta copia de los correos electrónicos recibidos correspondientes a otras personas e intercambios de correos con el reclamado poniendo de manifiesto la situación. De estos hechos, se detectan múltiples incumplimientos de la normativa de protección de datos:
- Sobre el principio de confidencialidad: Consta que la parte reclamada remitió, desde el 16 de abril de 2020 al 9 de marzo de 2021, a tercera persona, 51 correos electrónicos que no iban dirigidos a ella. Hay que añadir que, en relación con la categoría de datos a la que tercera persona ajena ha tenido acceso, se encuentran en la categoría de especiales según lo dispuesto en el art. 9 del RGPD, circunstancia que supone un riesgo añadido que se ha de valorar en el estudio de gestión de riesgos y que aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda de la integridad y confidencialidad de estos datos.
- Sobre las medidas de seguridad: La consecuencia de esta implantación de medidas deficientes de seguridad fue la exposición a tercera persona ajena de los datos personales relativos a la salud de otros clientes, es decir, los afectados se han visto desprovistos del control sobre sus datos personales. Asimismo, el hecho de que trabajadores de encargados diferentes por cuenta de la compañía hayan cometido el mismo error demuestra que no se trata de un fallo humano concreto, sino de una defectuosa configuración del CRM, lo que pone manifiesto que dichos errores son tan sólo la muestra de la falta de medidas de seguridad adoptadas por el responsable
- Sobre la notificación de brechas: el reclamado ha sufrido una brecha de seguridad de los datos personales teniendo constancia de ella desde el 13 de julio de 2020 y no lo ha notificado a esta Agencia. Si bien es cierto que la entidad reclamada conocido el incidente adoptó medidas tendentes a poner remedio al mismo, el artículo 33 del RGPD establece de forma explícita que las brechas de seguridad, siempre que en una brecha se vean afectados datos de carácter personal e implique un riesgo para los derechos y libertades de las personas físicas, deben notificarse por el responsable del tratamiento en el plazo de 72 horas después de que haya tenido constancia de ella a la Autoridad de Control (AEPD), circunstancia que se cumpliría en el presente caso, toda vez que además, los datos afectados pertenecen a la categoría de datos regulada en el artículo 9.1 del citado RGPD (Tratamiento de categorías especiales de datos personales).

Arts. afectados:

Art. 5.1.f RGPD (Confidencialidad)
Art. 32 RGPD (Seguridad del tratamiento)
Art. 33 RGPD (Notificación de Brechas de seguridad)

Resolución:

100.000 € (Art. 5.1.f RGPD)
60.000 € (Art. 32 RGPD)
60.000 € (Art. 33 RGPD)
Total 220.000 € (132.000 € por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Videovigilancia – Particulares  -  

#18

Sanción por tener una cámara ubicada en un árbol enfocando a la vía pública

PROCEDIMIENTO

PS/00041/2022

 

Se denuncia por parte del reclamante que un vecino dispone de un dispositivo (cámara de video-vigilancia) instalado en un árbol con palmaria mala orientación hacia zona de tránsito, afectando a derechos de terceros sin causa justificada. Las pruebas aportadas, y la falta de alegaciones por parte del reclamado, permiten constatar la presencia de un dispositivo camuflado en la copa de un árbol con palmaria mala orientación y sin la debida señalización al menos de forma aparente en zona visible o sin informar de la “operatividad” o no de la misma frente a terceros.

Arts. afectados:

Art. 5.1.c) RGPD (Minimización de datos)

Resolución:

300 €

 

 

******

- Licitud del tratamiento – Encuestas -  

#19

 6.000 € de sanción por recoger datos personales mediante encuestas y usarlos para otros fines

PROCEDIMIENTO

PS/00400/2021

 

La reclamación versa sobre la recogida de datos personales que la parte reclamada lleva a cabo a través de supuestas encuestas y sobre la información que ofrece a los interesados acerca del tratamiento de sus datos. La entidad ECOZONO, a través de terceros que actúan como encuestadores y con quienes le vincula un contrato mercantil, recoge datos de personas que acceden a contestar una encuesta cuando el verdadero propósito de la recogida de sus datos es contactar con ellas posteriormente para venderles sus productos. Añade que también les solicitan datos de terceras personas con la promesa de obtener un premio a cambio.
El formulario de ECOZONO informa de que la entidad es responsable del tratamiento y de que la base jurídica del tratamiento de los datos que en ellos se recogen es el consentimiento. Ahora bien, el mismo el formulario alude a la existencia de una relación comercial entre ECOZONO y los interesados. La realización de encuestas implica únicamente recoger la opinión o el parecer que tiene un individuo sobre una determinada cuestión y que para llevar a cabo esta operación no es indispensable recoger, ni tratar de otro modo, datos de carácter personal. Si en el curso de una encuesta se cree necesario o se opta por recabar del encuestado algún dato personal, será preciso contar con el consentimiento para ese tratamiento, debiendo acreditar que recabó y obtuvo del interesado el consentimiento para ese tratamiento específico, así como haber informado al interesado de la finalidad del tratamiento. En el presente caso, y pese a que a ella le incumbe la prueba de la licitud del tratamiento efectuado, no ha demostrado la existencia de una o varias bases jurídicas que legitimen estos tratamientos.

Arts. afectados:

Art. 6.1.a RGPD (Consentimiento como base de legitimación)

Resolución:

6.000 € (3.600 por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Legitimación del tratamiento – Certificado COVID -  

#20

Archivo de procedimiento contra un bar por solicitar el certificado COVID durante las navidades

PROCEDIMIENTO

AI/0177/2022

 

El reclamante expone que en fecha 30 de diciembre de 2021, al intentar acceder junto a su hijo de 10 años al establecimiento del que es responsable la entidad LOCALES CABEZA Y GARCÍA, S.L., les solicitaron la presentación de certificado de vacunación contra la COVID19 como condición para permitir el acceso, entendiendo el reclamante que dicha solicitud es contraria a la normativa de protección de datos. El día 19 de diciembre de 2021 se publica en el Boletín Oficial de la Junta de Andalucía (Boletín nº 93), Resolución de 19 de diciembre de 2021, de la Secretaría General Técnica, por la que se da publicidad a la Orden de la Consejería de Salud y Familias de 16 de diciembre de 2021, por la que se establece la medida preventiva de salud pública relativa al Certificado COVID-19 o prueba diagnóstica para el acceso de las personas usuarias al espacio interior de establecimientos de hostelería, ocio y esparcimiento. Dicha Orden, ratificada judicialmente por el Tribunal Superior de Justicia de Andalucía de Granada, Sala de lo Contencioso-administrativo, Sección 1ª, Auto de 15 Dic. 2021, Rec. 2260/2021. En consecuencia, no se han encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la AEPD, al tratarse el local al que la parte reclamante quería acceder de una cervecería y serle de aplicación, lo dispuesto en la Orden citada

Arts. afectados:

Art. 6 RGPD (Licitud del tratamiento)
Art. 9 RGPD (Tratamiento de datos sensibles)

Resolución:

Archivo de actuaciones

 

 

******

- Confidencialidad – Entidades Bancarias -  

#21

70.000 € a BANKINTER por remitir a la expareja el Informe Mensual de Cartera de Inversiones

PROCEDIMIENTO

PS/00421/2021

 

En fecha 5 de octubre de 2020, la reclamante tuvo conocimiento, tras la celebración de la audiencia previa de un procedimiento judicial, de que su expareja había aportado en dicho acto un documento emitido por la parte reclamada, de fecha 30 de abril de 2.019, en el que se le informaba de todas las posiciones bancarias que en esa entidad bancaria tenía la reclamante junto con su madre y hermanos y donde ella no era titular salvo en una cuenta corriente (en la que es cotitular). Considera que no debería haber recibido este informe que contiene información sensible y confidencial de cuentas y posiciones de las que nunca ha sido autorizada, divulgando estos datos de extrema importancia, lo que supone una vulneración de la normativa de protección de datos.
La parte reclamada expone que el acceso al Informe se debió a un error informático puntual que afectó a la herramienta informática que restringía y bloqueaba el acceso a dichos Informes.
Asimismo, manifiesta que ha procedido a implantar las medidas correctoras adecuadas para evitar la repetición de hechos similares en el futuro. La documentación aportada se encuentra incorporada al expediente.

Arts. afectados:

Art. 5.1.f) RGPD (Confidencialidad)

Resolución:

70.000 € (56.000 por pago voluntario)

 

 

******

- Comunicaciones no solicitadas – Telecomunicaciones -  

#22

15.000 € por realizar llamadas comerciales a un número inscrito en la Lista Robinson

PROCEDIMIENTO

PS/00474/2021

 

Se denuncia por el reclamante la recepción de llamadas comerciales diarias, varias veces al día y en diferentes horarios. Dicho número de teléfono estaba inscrito en la lista interna de números a los que no se deben realizar llamadas comerciales de Vodafone, sin embargo, sigue recibiendo llamadas. Vodafone identifica la llamada, correspondiéndose con la agencia colaboradora CASMAR, con la cual había firmado un contrato de agencia con VODAFONE para comercializar los servicios de VODAFONE, en el que se especifica que CASMAR tenía la responsabilidad de filtrar con la Lista Robinson de ADIGITAL las llamadas a potenciales clientes. Por su parte, CASMAR indica que VODAFONE obliga a todos los colaboradores que tienen la consideración de Call Center a suscribir un contrato con la empresa OASIP que es la suministradora de las soluciones de Voz IP y filtrado a través de los ficheros de exclusión publicitaria. Sin dicho contrato la compañía telefónica no autoriza la subcontratación de los tratamientos de televenta.
La AEPD señala como responsable de la línea telefónica que realizó la llamada a CASMAR, entidad que ha firmado un contrato con Vodafone, en el que se obliga a filtrar los números de teléfono con la Lista Robinson de ADIGITAL. Y los números de teléfono de la parte reclamante estaban incluidos en la Lista Robinson de ADIGITAL desde el 15 de junio de 2020, recibiendo las llamadas el 13 de octubre de 2020, demostrando esta situación que las llamadas no se filtraban con la Lista Robinson de ADIGITAL. La calificación en los hechos de CASMAR debe considerarse como responsable del tratamiento, ya que, si subcontrató con otros colaboradores o empresas, debía cerciorarse de que a través de OASIP filtrasen los números telefónicos a los que debían llamar, constatando que no estuviesen incluidos en el fichero de exclusión del listado Robinson interno de Vodafone.

Arts. afectados:

48.1.b) LGT (Comunicaciones no solicitadas)

Resolución:

15.000 €

 

 

******

- Consentimiento – Fotografías -  

#23

Sanción a una academia por no solicitar consentimiento separado para la toma de fotografías

PROCEDIMIENTO

PS/00577/2021

 

La reclamada A.A.A. lleva a cabo una actividad de verano dirigida a menores organizada e impartida por la mencionada academia. En el contrato de actividades de verano de menores que lleva a cabo esta última, los padres de dichos menores han de firmar un contrato que no desvincula el consentimiento para la realización de dichas actividades de verano objeto del contrato, del consentimiento o no para la toma de fotografías de los menores y utilizarlas como publicidad. La reclamada manifiesta que los contratantes en todo momento se encuentran facultados para aprobar o declinar la utilización de las citadas imágenes sin encontrarse condicionados a la contratación del servicio, y que las citadas imágenes serán únicamente publicadas en sitios y redes sociales de la academia y no por ningún otro medio. Sin embargo, la AEPD considera que se lleva a cabo tratamiento ilícito de datos personales, ya que la captación y publicación de imágenes de los menores requiere de un consentimiento diferenciado, tanto de la toma de fotografías como de la posible publicidad, por lo tanto, de los hechos señalados debería de haber al menos tres solicitudes de consentimiento claramente diferenciados a lo largo del contrato para cumplir con la normativa de protección de datos de carácter personal: primero para la formalización del contrato, segundo para la toma de fotografías, y tercero sobre la finalidad publicitaria de las mismas.

Arts. afectados:

Art. 7 RGPD (Condiciones del consentimiento)

Resolución:

500 € (300 € por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Incumplimiento medidas – Locutorio -  

#24

600 € a locutorio que había sido apercibido por no acreditar haber adoptado las medidas a la AEPD

PROCEDIMIENTO

PS/00007/2022

 

Con fecha 1 de septiembre de 2021, la Directora de la AEPD dictó resolución en el procedimiento sancionador número PS/00230/2021, seguido contra A.A.A por recoger datos de las personas físicas que acuden a su locutorio a pedir cita para trámites administrativos, sin facilitar la información precisa a los interesados de conformidad con la normativa vigente en materia de protección de
datos personales. La resolución del procedimiento sancionador y el requerimiento posterior de cumplimiento fueron notificados con arreglo a lo dispuesto en los artículos 42 y 44 de la LPACAP. La parte reclamada no ha remitido respuesta alguna a esta Agencia que acredite el cumplimiento de las medidas impuestas, incumpliendo con ello la resolución de la AEPD, hechos constitutivos la vulneración del art. 58.2.d) RGPD

Arts. afectados:

Art. 72.1 m) LOPDGDD (Incumplimiento de resoluciones de la Autoridad de Control)

Resolución:

600 €

Anotaciones:

La presente sanción trae causa de la resolución PS/00230/2021

******

- Confidencialidad – Sector Sanitario -  

#25

Sanción a un psicoterapeuta por remitir erróneamente facturas de pacientes a un tercero

PROCEDIMIENTO

PS/00422/2021

 

Manifiesta el reclamante que la reclamada le ha remitido un informe de su hija, menor de edad, desde el correo electrónico de una papelería-librería, lo que a su criterio vulnera el deber de confidencialidad. Posteriormente, desde su dirección personal, envía de nuevo el informe y facturas solicitadas, remitiendo algunas con datos personales de terceros (nombre y apellidos, DNI, dirección postal y periodo de tratamiento). Consta que los datos personales de los afectados, obrantes en la base de datos de la parte reclamada, fueron indebidamente expuestos a un tercero, ya
que la parte reclamante recibió, junto con las facturas correspondientes a su hija menor de edad, varias facturas correspondientes a tres personas físicas, en las que constaban nombre, apellidos y número de DNI de los interesados. ”. Asimismo, en el momento de producirse la brecha, la parte reclamada no había adoptado medidas adecuadas para impedir la exposición de datos personales a terceros no autorizados, ya que envió por correo electrónico a la parte reclamante varias facturas correspondientes a otras personas.

Arts. afectados:

Art. 5.1.f) RGPD (Confidencialidad)
Art. 32 del RGPD (Medidas de seguridad)

Resolución:

3.000 € (Art. 5.1.f RGPD)
2.000 € (Art. 32 RGPD)
5.000 € en total (4.000 € por pago voluntario)

Anotaciones:

Es importante recalcar en este procedimiento lo indicado por la AEPD respecto de las facturas a clientes de un psicoterapeuta, señalando que son datos de salud:
"Debemos significar que las facturas son documentos que hacen referencia a datos personales de salud y que son emitidas a favor, en este caso, de personas a quienes se les ha prestado un servicio de psicoterapia. En este sentido el considerando 35 del RGPD determina que: “(35) Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro”. El simple hecho de poner de manifiesto que una persona está acudiendo a sesiones de psicoterapia a través de una factura, es un dato de salud."

******

- Videovigilancia y finalidad – Sector hostelero -  

#26

Sanción por compartir en redes imágenes de una caída obtenidas con cámaras de videovigilancia

PROCEDIMIENTO

PS00580/2021

 

Los hechos se concretan en la utilización de imágenes extraídas del sistema de video-vigilancia del establecimiento-Bar Felipe I-, sin causa legítima para ello, siendo difundidas públicamente tanto en Redes sociales, como en medios de comunicación de carácter público. Consta aportada Acta Notarial por la que se protocoliza las páginas de Internet que permiten el acceso a la reproducción del video obtenido de las cámaras del establecimiento Bar Felipe I, dónde se visualiza la imagen del reclamante. Consta acreditado que el establecimiento hostelero Bar ***BAR.1 dispone de un sistema de cámaras de video-vigilancia que permite obtener imágenes del interior del mismo, contando con el preceptivo cartel (es) informando que se trata de una zona video-vigilada.
La difusión de las mismas a través de distintos medios no encuentra acomodo en causa legítima alguna para ello, realizando un “tratamiento de los datos” del afectado fuera de los casos permitidos por la Ley, siendo incompatible con la finalidad de seguridad a la que obedece la instalación de las mismas, siendo tratadas sin la debida reserva exigible en estos casos.
La conducta descrita se considera negligente por cuanto ha obtenido voluntariamente las imágenes del sistema de cámaras del establecimiento hostelero, para su ulterior difusión pública con un ánimo de zaherir al titular de los datos, no siendo la exposición pública el medio adecuado para denunciar cualquier hecho que pudiera ser en su caso denunciable.

Arts. afectados:

Art. 5.1b) RGPD (Limitación de la finalidad)

Resolución:

5.000 €

 

 

******

- Información – Política de privacidad -  

#27

Multa por no tener política de privacidad con toda la información necesaria

PROCEDIMIENTO

PS/00043/2022

 

El reclamante manifiesta que la entidad reclamada cuenta en su página web con un formulario que recoge datos personales para el acceso a una clase gratis en sus instalaciones y señala que, en la Información sobre el tratamiento de datos que facilita la entidad reclamada, no se incluye toda la información requerida por la normativa de protección de datos, puesto que no consta el plazo durante el cual se conservarán los datos personales aportados por los clientes. Dado que no se presentaron alegaciones, se considera que la parte reclamada ha vulnerado el art. 13 del RGPD puesto que el formulario que debe rellenar para el acceso a una clase gratis en sus instalaciones no informa debidamente del plazo durante el cual se conservarán los datos personales aportados.

Arts. afectados:

Art. 13.2 RGPD (Información al interesado)

Resolución:

500 €

 

 

******

- Encargo de tratamiento – Telecomunicaciones -  

#28

40.000 € por seguir llamando pese a ejercicio del derecho de supresión e inscripción en la lista Robinson

PROCEDIMIENTO

PS/00394/2021

 

ESVETEL, S.L. realizó una llamada publicitaria al número de teléfono ***TELÉFONO.2, titularidad de la parte reclamante, número inscrito en el canal de llamadas telefónicas de ADIGITAL, oponiéndose a recibir llamadas La entidad ESVETEL, S.L., en calidad de subencargada del tratamiento ahora imputado, consistente en realizar llamadas comerciales en nombre de Vodafone España, S.A.U., al menos a una numeración incluida en los listados de exclusión publicitaria Robinson y sin haber tenido la debida diligencia a la que está obligada por la contratación en
razón de su contenido, ha dado lugar a la vulneración de derechos de la parte reclamante. ESVETEL, S.L. no tiene implantados procedimientos adecuados técnicos y organizativos de actuación a fin de dar cumplimiento al tratamiento objeto del subencargo en los términos del art 28 del RGPD, de modo que la infracción no es consecuencia de una anomalía puntual en el funcionamiento de
dichos procedimientos sino un defecto persistente y continuado del sistema de gestión de los datos personales. La reclamada se limita a mostrar  su conformidad con la sanción propuesta, desistiendo expresamente de cualquier otro procedimiento contencioso contra dicha sanción.

Arts. afectados:

Art. 48.1.b)LGT (Oposición a llamadas con fines de comerciales)
Art. 28 RPGD (Encargo del tratamiento)

Resolución:

20.000 € cada infracción
40.000 € en total

 

 

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857