\ RSM20220909 - Resoluciones Relevantes
|
RESOLUCIONES RELEVANTES 01/08/2022 - 02/09/2022 |
||
|
Licitud de Tratamiento, sistemas de información crediticia, información a los afectados, subencargado de tratamiento, minimización de datos, registro de actividades de tratamiento, videovigilancia... |
||
|
* |
||
|
“Es el
primer Bazar que han sancionado por no disponer de un RAT, pese a que en
diversas resoluciones ya habían indicado que no era necesario por el tipo de
actividad realizada." |
||
|
- Licitud del tratamiento – COVID - |
||
|
16.000 euros al organizador de la San Silvestre Vallecana por solicitar pruebas de COVID para participar en la carrera |
||
|
PROCEDIMIENTO |
«««« |
|
|
La
reclamación se dirige contra el organizador de la San Silvestre Vallecana
porque exige a los participantes, para poder inscribirse en la carrera,
aportar el pasaporte COVID o, en su defecto, presentar una prueba PCR o de
antígenos hecho en las 72h previas a la carrera. Ha infringido dos preceptos,
en primer lugar el artículo 9.2 del RGPD, al tratar datos especialmente
protegidos, sin encontrarse en ninguno de los supuestos permitidos en dicho
artículo señalados como excepción, y en segundo lugar, el artículo 6 del
RGPD, ya que nos encontramos ante un tratamiento de datos personales sin
legitimación que justifique dicho tratamiento, de conformidad con la
normativa de protección de datos. |
||
|
Arts. afectados: |
Art. 6 RGPD (Licitud del tratamiento); Art. 9.2 RGPD (Licitud del tratamiento de datos sensibles) |
|
|
Resolución: |
6.000 euros Art. 6 RGPD); 10.000 euros (Art. 9.2 RGPD). Total 16.000 euros (9.600 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
|
- Confidencialidad – Correo Electrónico - |
||
|
2.000 euros por el envío de correo sin copia oculta |
||
|
PROCEDIMIENTO |
«««« |
|
|
El reclamante expone que en fecha 26/09/2021 ha recibido un correo electrónico remitido a 241 destinatarios con las direcciones de todos ellos visibles, sin haber hecho uso de la funcionalidad de "con copia oculta CCO". Junto con el escrito de reclamación aporta copia de la comunicación recibida, remitida por JAÉN, SENTIDO Y COMÚN convocando a la asamblea abierta de fecha 30/09/2021. El 28/09/2021 el reclamante se dirige a la formación política, solicitando que se acredite la autorización para la utilización de ese email para estas comunicaciones porque su participación en el grupo municipal fue en el proceso de candidaturas para la alcaldía en la que concurrían varias organizaciones políticas, y sospecha que se podría haber producido un tratamiento o cesión de datos sin su autorización. También solicitaba la vía de contacto con el DPD. Expone que ha recibido una contestación evasiva y que se le informa de que procedían a la eliminación de su dirección de correo electrónico de su lista de contactos. El reclamante expone que él solicitó información sobre el tratamiento realizado con su correo electrónico y no se ha contestado. |
||
|
Arts. afectados: |
Art. 5.1 f) RGPD (Confidencialidad); Art. 32.1 RGPD Medidas de Seguridad |
|
|
Resolución: |
1.500 euros (Art. 5.1.f RGPD); 500 euros (Art. 32.1 RGPD); Total 2.000 euros |
|
|
|
|
|
|
- Licitud – Fichero de morosos - |
||
|
15.000 euros por incluir al interesado en un fichero de morosos sin haber sido informado previamente |
||
|
PROCEDIMIENTO |
«««« |
|
|
La
reclamante manifiesta que ha sido trabajadora de Prodesspa hasta el 26 de
mayo de 2021, fecha en que se rescindió el contrato de trabajo. Así las
cosas, con posterioridad a la finalización de la relación laboral, la parte
reclamada procedió el 4 de junio de 2021 al cobro de una supuesta deuda que
no reconoce la reclamante, mediante giro bancario a la cuenta de su
titularidad. La reclamante devolvió la factura y la reclamada procedió a
incluir sus datos en el sistema de información crediticia Asnef. La parte
reclamada alega que la comunicación mediante correo electrónico para
comunicar el impago de la factura es suficiente, porque en el correo aparece
un aviso legal informando del tratamiento de datos y ejercicio de derechos.
Sin embargo, en ningún momento se especifica la posibilidad de inclusión en
los sistemas de información crediticia. |
||
|
Arts. afectados: |
Art. 6 RGPD (Licitud del tratamiento); Art. 20.1 c) LOPDGDD (Información previa a la inclusión en sistemas de información crediticia) |
|
|
Resolución: |
15.000 euros (9.000 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
|
- Información al interesado – Asesorías y gestorías - |
||
|
Sancionan a una asesoría por no informar del tratamiento a la hora de elaborar la declaración del IRPF |
||
|
PROCEDIMIENTO |
«««« |
|
|
Inicialmente
se formular reclamación sobre la grabación que INMARÁN, supuestamente, hizo
de las conversaciones telefónicas que la parte reclamante mantuvo con ella,
lo que aconteció, según explica esa parte, sin que la reclamada le hubiera
informado de la grabación y sin que ella hubiera otorgado su consentimiento a
ese tratamiento. Explica que se puso en contacto con la parte reclamada para
“una consulta sobre ayudas de alquiler a menores de 35 años en la declaración
de la renta 2019.” y que, “Tras unos problemas con la contratación de sus
servicios, se intercambian una serie de correos en los que nos amenazan con
que, si no se realiza un pago por los "servicios" prestados en un
plazo de 48 horas, nos interpondrían una demanda judicial aportando como
prueba conversaciones telefónicas grabadas.”. La afirmación hecha por la
reclamada en el correo electrónico enviado el 01/07/2020, por sí sola,
resultaba claramente insuficiente para dar por cierta esa conducta al tiempo
de acordar la apertura del expediente sancionador. |
||
|
Arts. afectados: |
Art. 13 RGPD (Información al interesado) |
|
|
Resolución: |
2.000 euros |
|
|
Anotaciones: |
Advierte la AEPD que a propósito de la leyenda informativa que INMARÁN incluyó al pie de los correos electrónicos intercambiados con la reclamante, que en ella se indica que los datos se tratarán con “ la finalidad de gestionar las comunicaciones que pudiera mantener con el personal de la misma.”, no puede llevar equivocadamente a concluir que la reclamada informó sobre la finalidad del tratamiento, porque del tenor de esa información el tratamiento de los datos tendría que estar circunscrito a comunicaciones entre el personal de la gestoría y la reclamante |
|
|
- Información al interesado – Inmobiliarias - |
||
|
Sancionada una inmobiliaria por no informar del tratamiento de datos |
||
|
PROCEDIMIENTO |
«««« |
|
|
La parte reclamante, en la que indicaba, entre otras que, a la hora de realizar la reserva para la compra de un piso con la Agencia RODALI GESTIÓN INMOBILIARIA, no rellenó ninguna clausula ni fue informada del tratamiento de sus datos personales. Junto con el escrito de reclamación se aporta copia del contrato: “Documento de Oferta de Inmueble” fechado el 13/11/19, donde aparecen los datos personales de la reclamante, así como, los datos de la Inmobiliaria y donde se acuerda la gestión, por parte de la Inmobiliaria de la compra de un inmueble, pero no existe ninguna cláusula donde se informe de la gestión de los datos personales obtenidos por la inmobiliaria. En el presente caso, la reclamante indica que, en el momento de firmar el contrato por el que la Inmobiliaria se hacía cargo de la gestión de la compra de un inmueble, no firmó ni fue informada en ningún momento sobre la gestión de sus datos personales, lo que supone la infracción del deber de información por parte del Responsable del tratamiento. |
||
|
Arts. afectados: |
Art. 13 RGPD (Información al interesado) |
|
|
Resolución: |
5.000 euros |
|
|
|
|
|
|
- Confidencialidad y Medidas de Seguridad – Sector energético - |
||
|
80.000 euros a Naturgy por cambiar el correo electrónico y enviar facturas a un tercero |
||
|
PROCEDIMIENTO |
«««« |
|
|
La
reclamante ha tenido conocimiento de que un tercero ha hecho uso de sus datos
personales para cambiar el correo electrónico y solicitar que enviaran dos
facturas suyas, por lo que interpone reclamación ante la reclamada, y le
informan que este cambio se realizó de manera telefónica, facilitando el
nombre de este tercero, e indicándole que habían obrado de manera correcta ya
que la persona que llamó facilitó el nombre, DNI, dirección y referencia del
contrato de la reclamante. El motivo en que basa su reclamación es el cambio
de los datos de su contrato con la entidad reclamada, en concreto de su
correo electrónico sin su consentimiento. Junto a la notificación se aporta
los correos electrónicos intercambiados con la reclamada exponiendo los
hechos, así como contestación a los mismos, detallando en uno de ellos el
nombre de la persona que llamó (que no coincide con el nombre de la
reclamante) y el correo electrónico facilitado. |
||
|
Arts. afectados: |
Art. 5.1 f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
|
|
Resolución: |
50.000 euros (Art. 5.1f RGPD); 30.000 euros (Art. 32 RGPD). 80.000 euros en total (48.000 por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
|
- Encargado del tratamiento y Lista Robinson – Telecomunicaciones - |
||
|
Doble infracción a un Encargado de tratamiento por subcontratar servicios y no consultar la Lista Robinson |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se denuncia por el reclamante la recepción de una llamada comercial en nombre de VODAFONE, pese a encontrarse inscrito en la Lista Robinson. El titular de la línea llamante a fecha de las llamadas es SOLIVESA MÁSTER FRANCHISE, S.L., entidad que comercializa campañas de VODAFONE, y para ello el 7 de enero de 2021 suscribió un contrato con una tercera entidad llamada MARBELLA GRUPO TG E.I.R.L., para comercializar las campañas de VODAFONE. En este sentido, VODAFONE alega que únicamente tiene relación contractual con SOLIVESA, no con la entidad denominada MARBELLA GRUPO TG E.I.R.L. SOLIVESA formalizó unilateralmente con MARBELLA GRUPO, un contrato para llevar a cabo las campañas publicitarias que SOLIVIESA tenía contratadas con VODAFONE, sin que haya podido acreditarse vínculo alguno entre VODAFONE y MARBELLA GRUPO, de manera que ha subcontratado los servicios acordados con VODAFONE que implica el tratamiento de datos personales, con MARBELLA pese a no contar con la autorización de VODAFONE, vulnerando así lo establecido en dicho precepto. Asimismo, es SOLIVESA quien como encargada del tratamiento, en virtud del contrato firmado con VODAFONE, tiene la responsabilidad de cruzar los datos con la Lista Robinson para realizar las llamadas, algo que no hizo, ya que realizó una llamada de carácter comercial al reclamante pese a su inscripción en la Lista Robinson. |
||
|
Arts. afectados: |
Art. 48.1 LGT (No recibir comunicaciones no solicitadas); Art. 28.2 RGPD (Subencargado del tratamiento) |
|
|
Resolución: |
2.000 euros (Art. 48.1 LGT); 5.000 euros (Art. 28.2 RGPD). 7.000 euros (5.600 por pago voluntario) |
|
|
|
|
|
|
- Licitud del tratamiento – Página web - |
||
|
2.000 euros por descargar y publicar en su web la imagen de un tercero |
||
|
PROCEDIMIENTO |
«««« |
|
|
El presente procedimiento se inicia porque la parte reclamada publicó, en el sitio web referido en los hechos, la imagen de la parte reclamante, para ilustrar el trabajo que realizaban. La imagen no permite ver por completo a la persona, pero sí se le ve en parte. Esto unido al hecho de que aparece vinculado a Digitecnia, que es otra información adicional, hacen identificable a esa persona. Todo ello, constituye un tratamiento de datos personales de la parte reclamante. Se considera que existen evidencias de que el tratamiento de datos realizado por la parte reclamada de la parte reclamante que aparece en las imágenes objeto de este procedimiento se ha efectuado sin causa legitimadora de las recogidas en el artículo 6 del RGPD. Los datos de la parte reclamante, que ha tratado la parte reclamada, son identificables ya que su identidad pueda determinarse, directa o indirectamente. |
||
|
Arts. afectados: |
Art. 6 RGPD (Licitud del tratamiento) |
|
|
Resolución: |
2.000 euros (1.200 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
|
- Minimización de datos – Laboral - |
||
|
Sanción por exponer las actas del Comité de empresa en el grupo de WhatsApp con las firmas manuscritas de los firmantes |
||
|
PROCEDIMIENTO |
«««« |
|
|
La parte reclamada ha expuesto las actas del Comité de Empresa, en el tablón de anuncios sindical y en un grupo de WhatsApp, figurando en dichas actas las firmas manuscritas de todos los representantes sindicales que intervienen en el Comité de Empresa. En este sentido el informe del Gabinete Jurídico de la AEPD número 048939/2016, que sus conclusiones son trasladables al presente supuesto, ya que el acta contiene la identificación de los firmantes con su nombre, apellidos y cargo sin que la firma manuscrita aporte con carácter general una mayor información sobre lo debatido en el pleno, mientras que da lugar a un situación de riesgo para los firmante por lo que, en principio, debe considerarse que su publicación con carácter general no resulta conforme al principio de proporcionalidad, y por ello se entiende que la entidad reclamada ha vulnerado el artículo 5.1 c) del RGPD, que rige los principios minimización de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento. |
||
|
Arts. afectados: |
Art. 5.1.c) RGPD (Minimización de datos) |
|
|
Resolución: |
2.000 euros |
|
|
|
|
|
|
- RAT y Cartelería – Videovigilancia - |
||
|
Sancionado un bazar por no tener cartelería informativa de videovigilancia ni disponer de un RAT |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se denuncia por parte de la Guardia Civil la falta de cartel informativo de zona videovigilada en el establecimiento BAZAR PEKIN de la parte denunciada y de no tener a disposición de los clientes el resto de la información a la que se refiere el RGPD. Además, no cuenta con el debido Registro de Actividades de Tratamiento. Estos hechos fueron objeto de reclamación ante esta Agencia tramitándose el expediente E/02218/2021 y, posteriormente, el PS/00099/2021 en el que se determinó imponer una multa de 1.000€ |
||
|
Arts. afectados: |
Art. 13 RGPD (Información al interesado); Art. 30 RGPD (Registro de actividades del tratamiento) |
|
|
Resolución: |
1.500 euros (Art. 13 RGPD); 200 euros (Art. 30 RGPD). 1.700 euros en total |
|
|
Anotaciones: |
Es el primer Bazar que han sancionado por no disponer de un RAT, pese a que en diversas resoluciones ya habían indicado que no era necesario por el tipo de actividad realizada |
|
|
- Centro educativos – Videovigilancia - |
||
|
5.000 euros a un centro educativo por no disponer de carteles de videovigilancia |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se reclama por parte de uno los padres que el colegio no dispone del consentimiento de los progenitores para el tratamiento de las imágenes del hijo del reclamante, que no se informa a los padres de los alumnos del tratamiento de los datos personales según la normativa de protección de datos y que los carteles informativos de zona videovigilada no se encuentran cumplimentados. Los representantes del colegio manifiestan que disponen de dos cámaras situadas en el patio del colegio cuyas grabaciones se borran automáticamente cada semana. También manifiestan que existen diversas cámaras que son solo una carcasa y se utilizan para disuadir que entren en el patio. Aportan copia de un cartel informativo de video vigilancia en el que no se identifica al responsable del tratamiento ni el procedimiento para ejercitar sus derechos. |
||
|
Arts. afectados: |
Art. 13 RGPD (Información al interesado); Art. 22 LOPDGDD (Sistemas de videovigilancia) |
|
|
Resolución: |
5.000 euros (3.000 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
|
- Minimización de datos – Videovigilancia - |
||
|
1.500 euros por colocar cámaras en las zonas comunes de la vivienda compartida con su expareja sin su consentimiento |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se reclama por la denunciante como hecho principal “la presencia de un dispositivo de video-vigilancia en la vivienda compartida entre el reclamante (ex pareja) de la reclamada” estando apuntada la misma hacia el principal acceso compartido de la vivienda familiar “controlando las entradas/salidas” de la vivienda en la que cohabitan en plantas separadas. La presencia del dispositivo no es negada por ninguna de las partes, la parte reclamante denuncia su presencia y la parte reclamada confirma con las pruebas documentales aportadas la instalación y operatividad de la misma. Entre las partes existen conflictos varios, si bien por decisión judicial se ha decidió que las mismas compartan la misma vivienda (a modo de chalet) si bien en plantas separadas y existiendo una serie de zonas comunes, entre ellas la zona de aparcamiento de los vehículos. La presencia de cámaras en la vivienda no esté prohibida si bien el reclamante tiene derecho a que las zonas comunes de libre tránsito de la vivienda no sean objeto de grabación “tratando sus datos” debiendo ceñirse el sistema a lo estrictamente necesario para la protección de la vivienda, ponderando los derechos de las partes en juego y retirando o en su caso reorientado las cámaras que puedan afectar a una zona de tránsito o de libre acceso a la vivienda. |
||
|
Arts. afectados: |
Art. 5.1.c) RGPD (Minimización de datos) |
|
|
Resolución: |
1.500 euros |
|
|
|
|
|
|
- Videovigilancia – Bazar - |
||
|
Continúan las sanciones a bazares por mala adaptación normativa de las cámaras de videovigilancia |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se denuncia por la Policía Local que en el bazar, el responsable tiene un instalado un sistema de videovigilancia, compuesto por 32 cámaras, en el interior y exterior del establecimiento del denunciado, que podría captar imágenes de la vía pública. También se advierte de que el inmueble reseñado continua sin disponer del preceptivo cartel informativo de zona videovigilada en el que se informe sobre la presencia de las cámaras y sobre la identidad del responsable del tratamiento de los datos, para que las personas interesadas puedan ejercitar los derechos previstos en los artículos 15 a 22 del RGPD. Se aportan las imágenes del monitor del sistema de videovigilancia y en ellas se puede observar que los dispositivos colocados en la fachada del establecimiento (zona de la terraza) captan imágenes de la vía pública. Además, en la fotografía del cartel informativo de zona videovigilada ubicado en el interior del local se ve que no está cumplimentado con la información básica exigida. |
||
|
Arts. afectados: |
Art. 5.1.c) RGPD (Minimización de datos); Art.13 RGPD (Información al interesado) |
|
|
Resolución: |
300 euros cada infracción; 600 euros en total (360 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
|
- Licitud del tratamiento – Blogs e Internet - |
||
|
10.000 euros a un particular por publicar imágenes y comentarios difamatorios |
||
|
PROCEDIMIENTO |
«««« |
|
|
La parte reclamada ha venido realizando diversas publicaciones y entradas en su blog en las que se recogen datos personales del reclamado (imagen, nombre y apellidos) sin contar con su consentimiento, ni ninguna otra causa legitimadora del tratamiento de los datos personales. En el presente caso, la AEPD procede A graduar la sanción a imponer valorando la gravedad de la infracción, teniendo en cuenta el propósito de la operación de tratamiento de que se trate, así como el nivel de los daños y perjuicios que hayan sufrido, al tratar de identificar al reclamado con conductas reprobables o incluso ilegales; así como la intencionalidad en la misma, pretendiendo expresamente desacreditar al reclamado mediante tales publicaciones |
||
|
Arts. afectados: |
Art. 6.1 RGPD (Licitud del tratamiento) |
|
|
Resolución: |
10.000 euros |
|
|
|
|
|
|
- Derecho de Supresión – Comunicaciones Comerciales - |
||
|
Sancionado por seguir remitiendo publicidad pese a que el afectado ejerció su derecho de supresión |
||
|
PROCEDIMIENTO |
«««« |
|
|
La parte reclamada ha remitido comunicaciones comerciales no consentidas a la parte reclamante con posterioridad a haber sido atendido el derecho de supresión de los datos del reclamante. Teniendo en cuenta que el reclamante ejerció su derecho a supresión de datos habiendo sido éste tramitado conforme a la información facilitada por el delegado de protección de datos de la parte reclamada, se entiende que se ha producido una vulneración del artículo 21.1 LSSI al haber procedido de nuevo la parte reclamada al envío de comunicaciones comerciales. |
||
|
Arts. afectados: |
Art. 21.1 LSSI (Comunicaciones Comerciales) |
|
|
Resolución: |
1.500 euros |
|
|
|
|
|