Noticias \ RSM20220909 - Resoluciones Relevantes


Noticias

RESOLUCIONES RELEVANTES 01/08/2022 - 02/09/2022

Licitud de Tratamiento, sistemas de información crediticia, información a los afectados, subencargado de tratamiento, minimización de datos, registro de actividades de tratamiento, videovigilancia...

*

“Es el primer Bazar que han sancionado por no disponer de un RAT, pese a que en diversas resoluciones ya habían indicado que no era necesario por el tipo de actividad realizada."
(ABL)

******

- Licitud del tratamiento – COVID -  

16.000 euros al organizador de la San Silvestre Vallecana por solicitar pruebas de COVID para participar en la carrera

PROCEDIMIENTO

PS/00105/2022

««««

La reclamación se dirige contra el organizador de la San Silvestre Vallecana porque exige a los participantes, para poder inscribirse en la carrera, aportar el pasaporte COVID o, en su defecto, presentar una prueba PCR o de antígenos hecho en las 72h previas a la carrera. Ha infringido dos preceptos, en primer lugar el artículo 9.2 del RGPD, al tratar datos especialmente protegidos, sin encontrarse en ninguno de los supuestos permitidos en dicho artículo señalados como excepción, y en segundo lugar, el artículo 6 del RGPD, ya que nos encontramos ante un tratamiento de datos personales sin legitimación que justifique dicho tratamiento, de conformidad con la normativa de protección de datos.
El legislador español se ha dotado de las medidas legales necesarias oportunas para enfrentarse a situaciones de riesgo sanitario. Desde un punto de vista de tratamiento de datos personales, la salvaguardia de intereses esenciales en el ámbito de la salud pública corresponde a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar dichos intereses esenciales públicos en situaciones de emergencia sanitaria de salud pública. Conviene recordar, que las medidas sanitarias adoptadas por las autoridades sanitarias deben ser sometidas a la ratificación judicial, prevista en los artículos 10.8 y 11.1.i) de la Ley de Jurisdicción contencioso-administrativa (LJCA), y no pueden ser aplicadas por la Administración antes de que la Sala de lo Contencioso Administrativo correspondiente se pronuncie al respecto, cosa que no sucede en este caso.

Arts. afectados:

Art. 6 RGPD (Licitud del tratamiento); Art. 9.2 RGPD (Licitud del tratamiento de datos sensibles)

Resolución:

6.000 euros Art. 6 RGPD); 10.000 euros (Art. 9.2 RGPD). Total 16.000 euros (9.600 euros por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Confidencialidad – Correo Electrónico -  

2.000 euros por el envío de correo sin copia oculta

PROCEDIMIENTO

PS/00622/2021

««««

El reclamante expone que en fecha 26/09/2021 ha recibido un correo electrónico remitido a 241 destinatarios con las direcciones de todos ellos visibles, sin haber hecho uso de la funcionalidad de "con copia oculta CCO". Junto con el escrito de reclamación aporta copia de la comunicación recibida, remitida por JAÉN, SENTIDO Y COMÚN convocando a la asamblea abierta de fecha 30/09/2021. El 28/09/2021 el reclamante se dirige a la formación política, solicitando que se acredite la autorización para la utilización de ese email para estas comunicaciones porque su participación en el grupo municipal fue en el proceso de candidaturas para la alcaldía en la que concurrían varias organizaciones políticas, y sospecha que se podría haber producido un tratamiento o cesión de datos sin su autorización. También solicitaba la vía de contacto con el DPD. Expone que ha recibido una contestación evasiva y que se le informa de que procedían a la eliminación de su dirección de correo electrónico de su lista de contactos. El reclamante expone que él solicitó información sobre el tratamiento realizado con su correo electrónico y no se ha contestado.

Arts. afectados:

Art. 5.1 f) RGPD (Confidencialidad); Art. 32.1 RGPD Medidas de Seguridad

Resolución:

1.500 euros (Art. 5.1.f RGPD); 500 euros (Art. 32.1 RGPD); Total 2.000 euros

 

 

******

- Licitud – Fichero de morosos -  

15.000 euros por incluir al interesado en un fichero de morosos sin haber sido informado previamente

PROCEDIMIENTO

PS/00180/2022

««««

La reclamante manifiesta que ha sido trabajadora de Prodesspa hasta el 26 de mayo de 2021, fecha en que se rescindió el contrato de trabajo. Así las cosas, con posterioridad a la finalización de la relación laboral, la parte reclamada procedió el 4 de junio de 2021 al cobro de una supuesta deuda que no reconoce la reclamante, mediante giro bancario a la cuenta de su titularidad. La reclamante devolvió la factura y la reclamada procedió a incluir sus datos en el sistema de información crediticia Asnef. La parte reclamada alega que la comunicación mediante correo electrónico para comunicar el impago de la factura es suficiente, porque en el correo aparece un aviso legal informando del tratamiento de datos y ejercicio de derechos. Sin embargo, en ningún momento se especifica la posibilidad de inclusión en los sistemas de información crediticia.
Se considera que la reclamada vulneró el artículo 6.1 del RGPD, por tratamiento de datos sin legitimación, por garantía prevista en el artículo 20.1 c) de la LOPDGDD para que pueda operar la presunción iuris tantum de prevalencia del interés legítimo, ya que incluyó los datos de la reclamante en el fichero Asnef Empresas sin informarle sobre la posibilidad de su inclusión en un fichero de información crediticia, de manera que no se cumplen con los presupuestos establecidos para la inclusión.

Arts. afectados:

Art. 6 RGPD (Licitud del tratamiento); Art. 20.1 c) LOPDGDD (Información previa a la inclusión en sistemas de información crediticia)

Resolución:

15.000 euros (9.000 euros por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Información al interesado – Asesorías y gestorías -  

Sancionan a una asesoría por no informar del tratamiento a la hora de elaborar la declaración del IRPF

PROCEDIMIENTO

PS/00439/2021

««««

Inicialmente se formular reclamación sobre la grabación que INMARÁN, supuestamente, hizo de las conversaciones telefónicas que la parte reclamante mantuvo con ella, lo que aconteció, según explica esa parte, sin que la reclamada le hubiera informado de la grabación y sin que ella hubiera otorgado su consentimiento a ese tratamiento. Explica que se puso en contacto con la parte reclamada para “una consulta sobre ayudas de alquiler a menores de 35 años en la declaración de la renta 2019.” y que, “Tras unos problemas con la contratación de sus servicios, se intercambian una serie de correos en los que nos amenazan con que, si no se realiza un pago por los "servicios" prestados en un plazo de 48 horas, nos interpondrían una demanda judicial aportando como prueba conversaciones telefónicas grabadas.”. La afirmación hecha por la reclamada en el correo electrónico enviado el 01/07/2020, por sí sola, resultaba claramente insuficiente para dar por cierta esa conducta al tiempo de acordar la apertura del expediente sancionador.
Por el contrario, a la luz de los documentos que obran en el expediente administrativo resulta evidente que la parte reclamada trató, en calidad de responsable, diversos datos personales de la reclamante: su nombre y apellidos, su NIF o NIE, su dirección electrónica, su domicilio y otros de carácter estrictamente privado y económico que resultaban imprescindibles para la elaboración de su declaración del IRPF correspondiente al ejercicio 2019. La única información de la que se tiene constancia son los pies de correo electrónico que no se encontraban adaptados al RGPD.

Arts. afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

2.000 euros

Anotaciones:

Advierte la AEPD que a propósito de la leyenda informativa que INMARÁN incluyó al pie de los correos electrónicos intercambiados con la reclamante, que en ella se indica que los datos se tratarán con “ la finalidad de gestionar las comunicaciones que pudiera mantener con el personal de la misma.”, no puede llevar equivocadamente a concluir que la reclamada informó sobre la finalidad del tratamiento, porque del tenor de esa información el tratamiento de los datos tendría que estar circunscrito a comunicaciones entre el personal de la gestoría y la reclamante

******

- Información al interesado – Inmobiliarias -  

Sancionada una inmobiliaria por no informar del tratamiento de datos

PROCEDIMIENTO

PS/00618/2021

««««

La parte reclamante, en la que indicaba, entre otras que, a la hora de realizar la reserva para la compra de un piso con la Agencia RODALI GESTIÓN INMOBILIARIA, no rellenó ninguna clausula ni fue informada del tratamiento de sus datos personales. Junto con el escrito de reclamación se aporta copia del contrato: “Documento de Oferta de Inmueble” fechado el 13/11/19, donde aparecen los datos personales de la reclamante, así como, los datos de la Inmobiliaria y donde se acuerda la gestión, por parte de la Inmobiliaria de la compra de un inmueble, pero no existe ninguna cláusula donde se informe de la gestión de los datos personales obtenidos por la inmobiliaria. En el presente caso, la reclamante indica que, en el momento de firmar el contrato por el que la Inmobiliaria se hacía cargo de la gestión de la compra de un inmueble, no firmó ni fue informada en ningún momento sobre la gestión de sus datos personales, lo que supone la infracción del deber de información por parte del Responsable del tratamiento.

Arts. afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

5.000 euros

 

 

******

- Confidencialidad y Medidas de Seguridad – Sector energético -  

80.000 euros a Naturgy por cambiar el correo electrónico y enviar facturas a un tercero

PROCEDIMIENTO

PS/00100/2022

««««

La reclamante ha tenido conocimiento de que un tercero ha hecho uso de sus datos personales para cambiar el correo electrónico y solicitar que enviaran dos facturas suyas, por lo que interpone reclamación ante la reclamada, y le informan que este cambio se realizó de manera telefónica, facilitando el nombre de este tercero, e indicándole que habían obrado de manera correcta ya que la persona que llamó facilitó el nombre, DNI, dirección y referencia del contrato de la reclamante. El motivo en que basa su reclamación es el cambio de los datos de su contrato con la entidad reclamada, en concreto de su correo electrónico sin su consentimiento. Junto a la notificación se aporta los correos electrónicos intercambiados con la reclamada exponiendo los hechos, así como contestación a los mismos, detallando en uno de ellos el nombre de la persona que llamó (que no coincide con el nombre de la reclamante) y el correo electrónico facilitado.
Se considera que la entidad reclamada ha vulnerado la confidencialidad requerida en el tratamiento de datos personales, ya que pese a la medidas de seguridad indicadas se ha permitido el acceso a los datos personales de un cliente sin su consentimiento, logrando que le enviaran dos facturas del cliente al correo electrónico de dicho tercero alegando para obtener dicha información, la existencia de algún tipo de parentesco con el cliente.

Arts. afectados:

Art. 5.1 f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)

Resolución:

50.000 euros (Art. 5.1f RGPD); 30.000 euros (Art. 32 RGPD). 80.000 euros en total (48.000 por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Encargado del tratamiento y Lista Robinson – Telecomunicaciones -  

Doble infracción a un Encargado de tratamiento por subcontratar servicios y no consultar la Lista Robinson

PROCEDIMIENTO

PS/00186/2022

««««

Se denuncia por el reclamante la recepción de una llamada comercial en nombre de VODAFONE, pese a encontrarse inscrito en la Lista Robinson. El titular de la línea llamante a fecha de las llamadas es SOLIVESA MÁSTER FRANCHISE, S.L., entidad que comercializa campañas de VODAFONE, y para ello el 7 de enero de 2021 suscribió un contrato con una tercera entidad llamada MARBELLA GRUPO TG E.I.R.L., para comercializar las campañas de VODAFONE. En este sentido, VODAFONE alega que únicamente tiene relación contractual con SOLIVESA, no con la entidad denominada MARBELLA GRUPO TG E.I.R.L. SOLIVESA formalizó unilateralmente con MARBELLA GRUPO, un contrato para llevar a cabo las campañas publicitarias que SOLIVIESA tenía contratadas con VODAFONE, sin que haya podido acreditarse vínculo alguno entre VODAFONE y MARBELLA GRUPO, de manera que ha subcontratado los servicios acordados con VODAFONE que implica el tratamiento de datos personales, con MARBELLA pese a no contar con la autorización de VODAFONE, vulnerando así lo establecido en dicho precepto. Asimismo, es SOLIVESA quien como encargada del tratamiento, en virtud del contrato firmado con VODAFONE, tiene la responsabilidad de cruzar los datos con la Lista Robinson para realizar las llamadas, algo que no hizo, ya que realizó una llamada de carácter comercial al reclamante pese a su inscripción en la Lista Robinson.

Arts. afectados:

Art. 48.1 LGT (No recibir comunicaciones no solicitadas); Art. 28.2 RGPD (Subencargado del tratamiento)

Resolución:

2.000 euros (Art. 48.1 LGT); 5.000 euros (Art. 28.2 RGPD). 7.000 euros (5.600 por pago voluntario)

 

 

******

- Licitud del tratamiento – Página web -  

2.000 euros por descargar y publicar en su web la imagen de un tercero

PROCEDIMIENTO

PS/00346/2022

««««

El presente procedimiento se inicia porque la parte reclamada publicó, en el sitio web referido en los hechos, la imagen de la parte reclamante, para ilustrar el trabajo que realizaban. La imagen no permite ver por completo a la persona, pero sí se le ve en parte. Esto unido al hecho de que aparece vinculado a Digitecnia, que es otra información adicional, hacen identificable a esa persona. Todo ello, constituye un tratamiento de datos personales de la parte reclamante. Se considera que existen evidencias de que el tratamiento de datos realizado por la parte reclamada de la parte reclamante que aparece en las imágenes objeto de este procedimiento se ha efectuado sin causa legitimadora de las recogidas en el artículo 6 del RGPD. Los datos de la parte reclamante, que ha tratado la parte reclamada, son identificables ya que su identidad pueda determinarse, directa o indirectamente.

Arts. afectados:

Art. 6 RGPD (Licitud del tratamiento)

Resolución:

2.000 euros (1.200 euros por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Minimización de datos – Laboral -  

Sanción por exponer las actas del Comité de empresa en el grupo de WhatsApp con las firmas manuscritas de los firmantes

PROCEDIMIENTO

PS/00626/2021

««««

La parte reclamada ha expuesto las actas del Comité de Empresa, en el tablón de anuncios sindical y en un grupo de WhatsApp, figurando en dichas actas las firmas manuscritas de todos los representantes sindicales que intervienen en el Comité de Empresa. En este sentido el informe del Gabinete Jurídico de la AEPD número 048939/2016, que sus conclusiones son trasladables al presente supuesto, ya que el acta contiene la identificación de los firmantes con su nombre, apellidos y cargo sin que la firma manuscrita aporte con carácter general una mayor información sobre lo debatido en el pleno, mientras que da lugar a un situación de riesgo para los firmante por lo que, en principio, debe considerarse que su publicación con carácter general no resulta conforme al principio de proporcionalidad, y por ello se entiende que la entidad reclamada ha vulnerado el artículo 5.1 c) del RGPD, que rige los principios minimización de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento.

Arts. afectados:

Art. 5.1.c) RGPD (Minimización de datos)

Resolución:

2.000 euros

 

 

******

- RAT y Cartelería  – Videovigilancia -  

Sancionado un bazar por no tener cartelería informativa de videovigilancia ni disponer de un RAT

PROCEDIMIENTO

PS/00141/2022

««««

Se denuncia por parte de la Guardia Civil la falta de cartel informativo de zona videovigilada en el establecimiento BAZAR PEKIN de la parte denunciada y de no tener a disposición de los clientes el resto de la información a la que se refiere el RGPD. Además, no cuenta con el debido Registro de Actividades de Tratamiento. Estos hechos fueron objeto de reclamación ante esta Agencia tramitándose el expediente E/02218/2021 y, posteriormente, el PS/00099/2021 en el que se determinó imponer una multa de 1.000€

Arts. afectados:

Art. 13 RGPD (Información al interesado); Art. 30 RGPD (Registro de actividades del tratamiento)

Resolución:

1.500 euros (Art. 13 RGPD); 200 euros (Art. 30 RGPD). 1.700 euros en total

Anotaciones:

Es el primer Bazar que han sancionado por no disponer de un RAT, pese a que en diversas resoluciones ya habían indicado que no era necesario por el tipo de actividad realizada

******

- Centro educativos – Videovigilancia -  

5.000 euros a un centro educativo por no disponer de carteles de videovigilancia

PROCEDIMIENTO

PS/00148/2022

««««

Se reclama por parte de uno los padres que el colegio no dispone del consentimiento de los progenitores para el tratamiento de las imágenes del hijo del reclamante, que no se informa a los padres de los alumnos del tratamiento de los datos personales según la normativa de protección de datos y que los carteles informativos de zona videovigilada no se encuentran cumplimentados. Los representantes del colegio manifiestan que disponen de dos cámaras situadas en el patio del colegio cuyas grabaciones se borran automáticamente cada semana. También manifiestan que existen diversas cámaras que son solo una carcasa y se utilizan para disuadir que entren en el patio. Aportan copia de un cartel informativo de video vigilancia en el que no se identifica al responsable del tratamiento ni el procedimiento para ejercitar sus derechos.

Arts. afectados:

Art. 13 RGPD (Información al interesado); Art. 22 LOPDGDD (Sistemas de videovigilancia)

Resolución:

5.000 euros (3.000 euros por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Minimización de datos – Videovigilancia -  

1.500 euros por colocar cámaras en las zonas comunes de la vivienda compartida con su expareja sin su consentimiento

PROCEDIMIENTO

PS/00521/2021

««««

Se reclama por la denunciante como hecho principal “la presencia de un dispositivo de video-vigilancia en la vivienda compartida entre el reclamante (ex pareja) de la reclamada” estando apuntada la misma hacia el principal acceso compartido de la vivienda familiar “controlando las entradas/salidas” de la vivienda en la que cohabitan en plantas separadas. La presencia del dispositivo no es negada por ninguna de las partes, la parte reclamante denuncia su presencia y la parte reclamada confirma con las pruebas documentales aportadas la instalación y operatividad de la misma. Entre las partes existen conflictos varios, si bien por decisión judicial se ha decidió que las mismas compartan la misma vivienda (a modo de chalet) si bien en plantas separadas y existiendo una serie de zonas comunes, entre ellas la zona de aparcamiento de los vehículos. La presencia de cámaras en la vivienda no esté prohibida si bien el reclamante tiene derecho a que las zonas comunes de libre tránsito de la vivienda no sean objeto de grabación “tratando sus datos” debiendo ceñirse el sistema a lo estrictamente necesario para la protección de la vivienda, ponderando los derechos de las partes en juego y retirando o en su caso reorientado las cámaras que puedan afectar a una zona de tránsito o de libre acceso a la vivienda.

Arts. afectados:

Art. 5.1.c) RGPD (Minimización de datos)

Resolución:

1.500 euros

 

 

******

- Videovigilancia – Bazar -  

Continúan las sanciones a bazares por mala adaptación normativa de las cámaras de videovigilancia

PROCEDIMIENTO

PS/00177/2022

««««

Se denuncia por la Policía Local que en el bazar, el responsable tiene un instalado un sistema de videovigilancia, compuesto por 32 cámaras, en el interior y exterior del establecimiento del denunciado, que podría captar imágenes de la vía pública. También se advierte de que el inmueble reseñado continua sin disponer del preceptivo cartel informativo de zona videovigilada en el que se informe sobre la presencia de las cámaras y sobre la identidad del responsable del tratamiento de los datos, para que las personas interesadas puedan ejercitar los derechos previstos en los artículos 15 a 22 del RGPD. Se aportan las imágenes del monitor del sistema de videovigilancia y en ellas se puede observar que los dispositivos colocados en la fachada del establecimiento (zona de la terraza) captan imágenes de la vía pública. Además, en la fotografía del cartel informativo de zona videovigilada ubicado en el interior del local se ve que no está cumplimentado con la información básica exigida.

Arts. afectados:

Art. 5.1.c) RGPD (Minimización de datos); Art.13 RGPD (Información al interesado)

Resolución:

300 euros cada infracción; 600 euros en total (360 euros por pago voluntario y reconocimiento de responsabilidad)

 

 

******

- Licitud del tratamiento – Blogs e Internet -  

10.000 euros a un particular por publicar imágenes y comentarios difamatorios

PROCEDIMIENTO

PS/00134/2022

««««

La parte reclamada ha venido realizando diversas publicaciones y entradas en su blog en las que se recogen datos personales del reclamado (imagen, nombre y apellidos) sin contar con su consentimiento, ni ninguna otra causa legitimadora del tratamiento de los datos personales. En el presente caso, la AEPD procede A graduar la sanción a imponer valorando la gravedad de la infracción, teniendo en cuenta el propósito de la operación de tratamiento de que se trate, así como el nivel de los daños y perjuicios que hayan sufrido, al tratar de identificar al reclamado con conductas reprobables o incluso ilegales; así como la intencionalidad en la misma, pretendiendo expresamente desacreditar al reclamado mediante tales publicaciones

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

10.000 euros

 

 

******

- Derecho de Supresión – Comunicaciones Comerciales -  

Sancionado por seguir remitiendo publicidad pese a que el afectado ejerció su derecho de supresión

PROCEDIMIENTO

PS/00210/2022

««««

La parte reclamada ha remitido comunicaciones comerciales no consentidas a la parte reclamante con posterioridad a haber sido atendido el derecho de supresión de los datos del reclamante. Teniendo en cuenta que el reclamante ejerció su derecho a supresión de datos habiendo sido éste tramitado conforme a la información facilitada por el delegado de protección de datos de la parte reclamada, se entiende que se ha producido una vulneración del artículo 21.1 LSSI al haber procedido de nuevo la parte reclamada al envío de comunicaciones comerciales.

Arts. afectados:

Art. 21.1 LSSI (Comunicaciones Comerciales)

Resolución:

1.500 euros

 

 

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857