\ RSM20221014 - Resoluciones Relevantes
|
RESOLUCIONES RELEVANTES 03/09/2022 - 07/10/2022 |
||
|
Licitud de Tratamiento, videovigilancia, cookies, telecomunicaciones, minimización de datos, derecho de oposición, confidencialidad... |
||
|
* |
||
|
“(...) especialmente relevante para todas aquellas entidades que indican que no resulta necesario colocar carteles de videovigilancia porque disponen de los de alarma, que con carácter general no informan del responsable del tratamiento ni la posibilidad de ejercer los derechos o dónde solicitar más información (muy habituales en servicios de Securitas y similares)" (ABL) |
||
|
- Licitud del tratamiento – Laboral - |
||
|
Sancionado un restaurante con 20.000 euros por instalar sistemas de videovigilancia con grabación de audio en el local |
||
|
PROCEDIMIENTO |
«««« |
|
|
La reclamación se basa en la presunta ilicitud del sistema de videovigilancia instalado por la parte reclamada en el local donde desarrolla su actividad empresarial, en relación con la grabación de sonidos. Existen ciertas dudas sobre el lugar de instalación de los mismos, ya que los micrófonos son encontrados en la zona de vestuarios, y la reclamada niega haber instalado en esa zona micrófono alguno, aportando un plano de situación de las cámaras y micrófonos, elaborado por la empresa instaladora, donde constan instalados en el acceso al restaurante, en la sala donde están ubicadas las mesas y barra del establecimiento, en un office y en una estancia de pequeño tamaño cuyo uso no está especificado en el plano. Asimismo, alega la reclamada que el enrarecimiento de la relación laboral causado por la reducción de jornada de los trabajadores y no haber cobrado las cantidades debidas por el ERTE parcial, motivó que las trabajadoras levantaran el falso techo del vestuario y arrastraran el micro del office y lo llevaran a la zona de vestuarios. En cualquier caso, no resulta controvertido que la parte reclamada es la titular y responsable del sistema de videovigilancia denunciado y, por tanto, la responsable de los tratamientos de datos que conlleva la utilización de dicho sistema. Y tampoco el hecho de que entre los tratamientos de datos realizados se contempla la recogida y almacenamiento de datos personales relativos a la voz de empleados y clientes. En ningún momento se aporta justificación suficiente sobre la grabación de sonidos. No tiene en cuenta la parte reclamada los limites previstos en el artículo 20.3 de la Ley del Estatuto de los Trabajadores (LET); lo establecido en el artículo 89.3 de la LOPDGDD, que admite la grabación de sonidos únicamente cuando resulten relevantes los riesgos y respetando los principios de proporcionalidad e intervención mínima; ni la doctrina del Tribunal Constitucional, ya expresada, según la cual la grabación de conversaciones entre trabajadores o entre éstos y clientes no se justifica por la verificación del cumplimiento por el trabajador de sus obligaciones o deberes. Se entiende desproporcionada la captación de la voz tanto de los trabajadores como de clientes de la parte reclamada para la función de videovigilancia pretendida, para el control del cumplimiento por los trabajadores de sus obligaciones y deberes laborales. Se tiene en cuenta que la grabación de voz supone una mayor intromisión en la intimidad. |
||
|
Arts. afectados: |
Art. 6.1 RGPD (Licitud del tratamiento) |
|
|
Resolución: |
20.000 euros |
|
|
Anotaciones: |
Ante la inspección de la Policía en el local, y encontrar unos cables en un falso techo de vestuario, la denunciante manifiesta que son micrófonos, que en el contrato de trabajo viene especificado la grabación de audio y vídeo, y que ellas mismas han firmado. La información facilitada a los trabajadores se hace referencia a la “facultada de vigilancia empresarial”. No obstante, trae a colación la AEPD la Sentencia del Tribunal Constitucional de 10 de abril de 2000, en la que se recoge "esa facultad ha de producirse en todo caso, como es lógico, dentro del debido respeto a la dignidad del trabajador, como expresamente nos lo recuerda la normativa laboral (arts. 4.2.e y 20.3 LET) [...]. Debe por ello rechazarse… que las conversaciones que mantengan los trabajadores entre sí y con los clientes en el desempeño de su actividad laboral no están amparadas por el art. 18.1" |
|
|
- Cookies – Página Web - |
||
|
Continúan las sanciones por no adaptar las cookies a la normativa vigente |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se denuncia por el reclamante que al intentar entrar en la web y rechazar todas las cookies, es expulsado de la web imposibilitándole seguir navegando por el sitio web. Se comprueba por la AEPD que al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado que se utilizan cookies que no son técnicas o necesarias. Si se desea rechazar todas las cookies que no sean necesarias o técnicas, cliqueando en la opción <<No aceptar>>, se comprueba se expulsa al usuario de la web. Si se opta por aceptar todas las cookies, cliqueando en la opción <<Aceptar>>, se comprueba como la web ya no expulsa de la misma al usuario y sigue utilizando las cookies indicadas anteriormente. La política de Cookies proporciona información al usuario sobre, qué son las cookies, qué tipos de cookies utiliza el sitio web, cómo administrar las cookies a través de los navegadores instalados en el equipo terminal de usuario. Pero no existe información ni se identifican las cookies que utiliza el sitio web, su funcionalidad, si son propias o de tercero ni el tiempo que estarán activas. Se contesta por el Responsable informando de la eliminación de cookies y del banner que imposibilita la navegación; no obstante, se siguen instalando cookies no necesarias sin informar de las mismas. Concluye la AEPD indicando las deficiencias detectadas en la comprobación de la página web www.preicojuridicos.com son: - La utilización de cookies que no son técnicas o necesarias, sin el previo consentimiento de los usuarios. - La inexistencia de un banner de información sobre cookies en la página principal de la web. - La imposibilidad de rechazar las cookies que no son técnicas o necesarias o hacerlo de forma granular. - La falta de información en la “Política de Cookies” sobre las cookies que utiliza la web y el tiempo que estarán activas. |
||
|
Arts. afectados: |
Art. 22.2 LSSI (Consentimiento de cookies) |
|
|
Resolución: |
2.000 Euros |
|
|
|
|
|
|
- Telecomunicaciones – Sector Energético - |
||
|
10.000 euros por realizar llamadas comerciales a un número inscrito en la Lista Robinson |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se denuncia por el reclamante la recepción de llamadas comerciales no consentidas en la línea de telefonía móvil por parte de INSTALACIONES TÉRMICAS RENOVABLES, S.L. en nombre de NATURGY IBERIA S.A., pese a que la parte reclamante ha inscrito su número de teléfono en la lista de exclusión publicitaria, Lista Robinson, gestionada por ADigital. NATURGY ha acreditado que no tiene en su base de datos registrada a la parte reclamante, aunque si que tiene un contrato de servicios de apoyo comercial y técnico para la captación de clientes con la entidad reclamada. Tras la lectura del contrato firmado entre NATURGY y la entidad reclamada, la AEPD ha constatado que NATURGY tiene impuesta por contrato a la entidad reclamada la obligación de comprobar que se puede realizar la llamada por no haberse opuesto, de manera que los hechos objeto de la presente reclamación tienen como sujeto responsable a la entidad encargada de realizar las llamadas. |
||
|
Arts. afectados: |
Art. 48.1.b) LGT (Oposición a llamadas comerciales) |
|
|
Resolución: |
10.000 Euros |
|
|
|
|
|
|
- Minimización de datos – Entidades Bancarias - |
||
|
70.000 euros al BBVA por requerir copia del DNI para facilitar al interesado los datos de contacto de una oficina bancaria |
||
|
PROCEDIMIENTO |
«««« |
|
|
Los hechos denunciados se concretan en el requerimiento de la aportación de copia del DNI para conseguir datos de contacto de la oficina bancaria a fin de tramitar una consulta relativa a movimientos de cuenta, considerando que tal medida es desproporcionada. Solo se pueden recabar los datos personales que se vayan a tratar, es decir, los que sean estrictamente necesarios para el tratamiento; que solo podrán ser recogidos cuando vayan a ser tratados y que solo podrán ser utilizados para la finalidad con la que fue recogida, pero no con ningún otro objetivo, considerándose excesivo requerir al reclamante copia del DNI a los solos efectos de poder obtener datos de contacto de una oficina del banco. |
||
|
Arts. afectados: |
Art. 5.1.c) RGPD (Minimización de datos) |
|
|
Resolución: |
70.000 euros (46.000 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
|
- Minimización de datos – Videovigilancia - |
||
|
3.000 euros por disponer de cámaras enfocando a la vía pública sin cartel informativo |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se denuncia por los agentes de la Guardia Civil la existencia de una cámara de videovigilancia en una puerta de cochera orientada hacia la vía pública, enfocando a los usuarios de la vía pública y otros domicilios privados. Próximo a esta, en un ladrillo de hormigón, se encuentra oculta otra cámara de video vigilancia orientada también hacia la vía pública. El cable que alimenta a esta cámara procede de la puerta del garaje. Se tiene conocimiento que esta propiedad pertenece al titular de esta vivienda A.A.A, anteriormente denunciado a la Agencia Española de Protección de Datos por estos mismos hechos, ya que tenía instalada una cámara en el extremo de un mástil orientada hacia la vía pública, la cual continúa instalada. Meses después, se observa que el circuito de cámaras de videovigilancia consta de UNA unidad de cámara exterior que se encuentra colocada de manera oculta en un canalón de recogida de aguas (…), y en la parte posterior de la vivienda dispone de otra cámara exterior (…) que permite la grabación de personas y vehículos en la vía pública conectado a un sensor de luz de aproximación. En ningún parte de la construcción de la vivienda se encuentra colocado cartel informativo (…). Una vez se está procediendo a la práctica de identificación de A.A.A., propietario y uno de los moradores de la vivienda (…), se divisa a través de una de las ventanas de las que exhiben sus documentaciones personales de los relacionados, la visualización de grabaciones de las cámaras de seguridad en un monitor de televisión (…)” |
||
|
Arts. afectados: |
Art. 5.1c) RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado) |
|
|
Resolución: |
2.000 euros (Art. 5.1c RGPD); 1.000 euros (Art. 13 RGPD); 3.000 euros en total |
|
|
Anotaciones: |
La AEPD ha duplicado las sanciones en relación a la última sanción que le impusieron por los mismos hechos, objeto de reclamación en el PS/00451/2021 en el que se determinó imponer una multa de 1000€ y otra de 500€ por las mismas infracciones. |
|
|
- Derecho de oposición – Comunicaciones Comerciales - |
||
|
5.000 euros por remitir comunicaciones comerciales a un cliente a pesar de haberse opuesto al tratamiento |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se denuncia por parte del reclamante la recepción de llamadas comerciales y SMS en su línea móvil. En este supuesto, es necesario destacar que el reclamante y reclamada tienen una relación contractual. No obstante, se manifiesta que pese a que la parte reclamante ha comunicado de forma reiterada, el 3 y 17 de diciembre de 2021 y el 17 de marzo de 2022, su deseo de no recibir SMS comerciales de la entidad reclamada, ha seguido recibiendo SMS comerciales en su línea móvil ***TELÉFONO.1. La reclamada alega que lo que sucedió es que se dio curso al derecho del interesado, pero no por el procedimiento adecuado teniendo en cuenta que es cliente, sino que se le incluyó en los ficheros de exclusión publicitaria de no clientes, pero que ya ha sido resuelto; pero la AEPD considera que se ha producido una vulneración del art. 21 LSSI por parte de la entidad reclamada, al enviar correos electrónicos publicitarios sin el consentimiento del destinatario. |
||
|
Arts. afectados: |
Art. 21 LSSI (Comunicaciones Comerciales) |
|
|
Resolución: |
5.000 euros (3.000 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
Anotaciones: |
Con respeto a la resolución de la AEPD, en el presente supuesto no se trata de un incumplimiento por falta de consentimiento, toda vez que la propia LSSI admite la posibilidad del envío de comunicaciones comerciales sin que medie consentimiento del interesado cuando se cumplen una serie de requisitos (existencia de una relación contractual previa, que los datos se hayan obtenido lícitamente y se traten de productos o servicios similares a los inicialmente contratados). Partiendo del cumplimiento de esta excepción (ya que se ha recalcado por la AEPD la existencia del vínculo contractual), en este caso no es por falta de consentimiento, el incumplimiento se produce por no haber llevado a cabo la oposición al mismo, que se regula en el art. 22 LSSI |
|
|
- Licitud – Domiciliación - |
||
|
3.000 euros por cargar los recibos en una cuenta bancaria distinta |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se ha constatado que fueron cargados en la cuenta bancaria de la reclamante sin su consentimiento diversos importes durante el mes de noviembre de 2021. Los cobros efectuados corresponden a un servicio contratado por la reclamada con la compañía Sociedad General de Autores y Editores (SGAE). Señala que no tiene actualmente relación laboral con la parte reclamada, pero sus datos pudieron haber sido facilitados por esta ya que fue empleada de ella hace seis meses. Como consecuencia, un tercero emisor de los tres recibos domiciliados (SGAE) cargó en la cuenta bancaria de la reclamante el importe de los mismos, siendo el titular de ellos la parte reclamada. Considera la AEPD que La parte reclamada trató los datos de la reclamante sin legitimación, ya que se vincularon los recibos de un tercero en la cuenta bancaria de la reclamante, en relación con unos servicios que no contrató. |
||
|
Arts. afectados: |
Art. 6 RGPD (Licitud del tratamiento) |
|
|
Resolución: |
3.000 euros |
|
|
|
|
|
|
- Licitud del tratamiento – Página web - |
||
|
Sancionado por tener un cartel informativo de existencia de alarma, pero que no informa del tratamiento de datos |
||
|
PROCEDIMIENTO |
«««« |
|
|
La reclamante manifiesta que reside en una vivienda como inquilina y que dicha vivienda se ubica en un inmueble cuya Comunidad de Propietarios ha acordado la instalación de cámaras de videovigilancia en zonas comunes que se vinculan con un sensor de alarma que hace que, cuando se detecta movimiento, la cámara capta imágenes de la zona hacia la que se orienta. Señala que la cámara instalada en el descansillo de su vivienda se encuentra orientada a su vivienda, por lo que entiende que su instalación no es adecuada. La parte reclamada señala que hay un cartel que avisa de la existencia de una zona videovigilada en la entrada del edificio, aportando fotografía del mismo. En la fotografía aportada aparece un cartel informativo de que existe una alarma. Sin embargo, no se aprecia que el mismo figure información sobre la existencia de un tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en la normativa de protección de datos. |
||
|
Arts. afectados: |
Art. 13 RGPD (Información al interesado) |
|
|
Resolución: |
300 euros (180 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
Anotaciones: |
Esta resolución es especialmente relevante para todas aquellas entidades que indican que no resulta necesario colocar carteles de videovigilancia porque disponen de los de alarma, que con carácter general no informan del responsable del tratamiento ni la posibilidad de ejercer los derechos o dónde solicitar más información (muy habituales en servicios de Securitas y similares) |
|
|
- Confidencialidad – Brecha de seguridad - |
||
|
Una mala implantación de medidas de seguridad y gestión de una brecha de seguridad acaba en una multa de 52.000 euros |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se denuncia por un particular que ha recibido un email por parte de la entidad BAYARD, en el que se le informaba sobre el acceso no autorizado a la base de datos por una tercera persona no autorizada, se han visto involucrados datos de localización y contacto de las personas que habían facilitado su información en el sitio web a través del formulario de registro. Los hechos se concretan en que el día 22 de octubre de 2021 BAYARD recibe email firmado por una persona externa, que se identificaba como supuesto investigador y divulgador especializado en ciberseguridad web, informando que había conseguido acceder a los datos de la compañía a raíz de una vulnerabilidad del sitio web, aportando como prueba captura de pantalla con los nombres de las tablas de la base de datos y sin aportar prueba sobre la filtración de datos. El responsable asegura que ha solucionado todas las vulnerabilidades que han posibilitado el ataque, ha implementado los protocolos a seguir en caso de incidencia relacionada con la protección de los datos, y ha adoptado una serie de medidas, entre las que se encuentra el cifrado de la información almacenada, no obstante, la AEPD se pronuncia en tres aspectos: - Respecto a la confidencialidad: Según el email recibido, se han visto involucrados datos de localización y contacto de las personas que habían facilitado su información en el sitio web a través del formulario de registro, aportando como prueba captura de pantalla con los nombres de las tablas de la base de datos y sin aportar prueba sobre la filtración de datos. - En relación con las medidas preventivas implantadas de forma previa a la brecha, no existe vinculación alguna entre estas medidas y el propio análisis de riesgos realizado, pues se aporta un análisis de riesgos generado por la herramienta GESTIONA EIDP de la AEPD, pero dicha herramienta carece de la identificación de factores que hagan referencia a posibles amenazas de ataques web relacionadas con la pérdida de confidencialidad, disponibilidad o integridad de los datos personales tratados a través del propio portal por lo que no se puede demostrar que dichas medidas se desplegaron para mitigar un determinado nivel de riesgo inherente del tratamiento para los derechos y libertades de las personas cuyos datos personales se trata. - Respecto a la comunicación de brechas de seguridad, tuvo constancia de haber sufrido una brecha de seguridad de los datos personales en fecha 28 de octubre de 2021 y no informa a la AEPD hasta el 11 de noviembre de 2021 (excediendo con ello el plazo de 72 horas sin causa justificada). El 28 de octubre ya se tenía constancia de la existencia de vulnerabilidades web que hubiera posibilitado la pérdida de la confidencialidad en datos personales, y es en ese momento cuando se traslada a la empresa asesora en protección de datos para que se le indicara cómo actuar en consecuencia. |
||
|
Arts. afectados: |
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de Seguridad); Art. 33 RGPD (Notificaciones de brechas) |
|
|
Resolución: |
30.000 euros (Art. 5.1.f RGPD) 20.000 euros (Art. 32 RGPD); 2.000 euros (Art. 33 RGPD); 2.000 euros en total (31.200 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
|
- Videovigilancia – Comunidad de Propietarios - |
||
|
Sancionada una Comunidad de Propietarios por instalar videovigilancia sin haberse aprobado en Junta |
||
|
PROCEDIMIENTO |
«««« |
|
|
Se presenta reclamación contra la Comunidad de Propietarios por la instalación de cámaras de videovigilancia, sin haber sido aprobadas en Junta de Propietarios y sin que figure información del responsable del tratamiento en los carteles informativos de zona videovigilada instalados. Señala que solicitó el Acta donde se acordara la instalación de las cámaras al Administrador de la Finca, y este le remitió un Acta donde se hace alusión al planteamiento de la cuestión relativa a la instalación de cámaras, pero en dicho Acta no se indica que se acabara adoptando la decisión. En este sentido, recuerda la AEPD que a la hora de instalar cámaras de seguridad en comunidades de vecinos, es necesario que la Comunidad de Vecinos cuente con el voto favorable de las 3/5 partes de la totalidad de los propietarios que a su vez representen las 3/5 partes de las cuotas de participación tal y como desarrolla el artículo 17 de la Ley de Propiedad Horizontal. En el acta, deberá reflejarse el acuerdo en dónde se les haya informado de la instalación del sistema de cámaras al conjunto de comuneros (as), así como al menos de la finalidad y/o responsable del tratamiento de sus datos personales, todo ello sin perjuicio del cumplimiento del resto de obligaciones. |
||
|
Arts. afectados: |
Art. 6.1.e (Legitimación - Interés Público); Art. 13 RGPD (Información a los interesados) |
|
|
Resolución: |
800 euros (Art. 6.1.e RGPD); 200 euros (Art. 13 RGPD); 1.000 euros en total |
|
|
Anotaciones: |
La AEPD hace referencia a la legitimación del tratamiento de videovigilancia amparada en el interés público (según exposición de motivos de la LOPDGDD). Sin embargo, con independencia de considerar que en este caso no se cumplen los requisitos para la instalación por la LPH, he de discrepar en la base de legitimación por cuanto entiendo que para la videovigilancia privada (y no la realizada por organismos y autoridades públicas en ejercicio de sus competencias). Se confunde, a mi parecer "misión pública" con "habilitación legal", pues en ningún momento la Comunidad (ni ninguna entidad privada) actúa para ejercer potestad públicas conferidas al responsable o ejecutar una misión en interés público (como pudiera ocurrir, por ejemplo, con el tratamiento relacionado con la prevención de blanqueo de capitales), en el sentido del dictamen 06/2014 del GT29. En este caso, parece más razonable que la base de legitimación se corresponda con el interés legítimo de la entidad, encontrando amparo legal de manera implícita en el art. 22 LOPDGDD, de manera similar al tratamiento de los datos de contacto que se ampara explícitamente en el interés legítimo ex art, 19 LOPDGDD |
|
|
- Videovigilancia – Comunidad de Propietarios - |
||
|
Sancionada una Comunidad de vecinos por instalar cámaras de videovigilancia que captan sonido |
||
|
PROCEDIMIENTO |
«««« |
|
|
Señala el reclamante que la Comunidad de Propietarios cuenta con un sistema de videovigilancia en espacios comunes, tratándose de un sistema de videovigilancia que no solo captaría imágenes, sino también sonido, entendiendo que se trata de un tratamiento de datos excesivo y no necesario para la finalidad de la misma, señalando asimismo que los carteles informativos de zona videovigilada no cuentan con la información completa que requiere la normativa de protección de datos, incluyendo únicamente referencia sucinta del responsable de tratamiento, como es la Comunidad. Aporta Acta de la Comunidad de Propietarios donde se aprueba la instalación del sistema e imágenes de los carteles informativos de zona videovigilada, indicando que en reclamaciones previas aportó video procedente del sistema de videovigilancia donde se aprecia que el sistema recoge sonido. La grabación de conversaciones personales tanto en empresa, como en comunidades de propietarios supone una invasión de la intimidad del usuario, por lo que con la excepción de que exista una autorización judicial previa y las grabaciones se realicen por las personas competentes para hacerlo no se permiten este tipo de comportamientos. Asimismo, se observa la presencia de cartel informativo si bien se limita a indicar en el apartado responsable “la Comunidad” siendo una aseveración insuficiente pues se debe indicar una dirección efectiva a efectos de poder ejercitar los derechos, que no suponga esfuerzo alguno a los afectados |
||
|
Arts. afectados: |
Art. 5.1.c) RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado) |
|
|
Resolución: |
300 euros (Art. 5.1.c RGPD); 300 euros (Art. 13 RGPD); 600 euros en total |
|
|
|
|
|
|
- Licitud del tratamiento – Aseguradora - |
||
|
Sancionan con 40.000 euros a una aseguradora por modificar los datos de la póliza de salud sin consentimiento |
||
|
PROCEDIMIENTO |
«««« |
|
|
El reclamante suscribió con la entidad bancaria un préstamo hipotecario, contratando un seguro de salud con la aseguradora CASER para mantener un determinado tipo de interés, figurando él como tomador y único titular de la cuenta, y como beneficiaria su pareja por aquel entonces y de la que actualmente se encuentra separado. Transcurrido unos meses de la separación, CASER realizó diversas modificaciones en los datos de la póliza, sin consentimiento, modificando el tomador y la cuenta de cargo de la prima, despareciendo el reclamante y su cuenta bancaria, figurando en su lugar su expareja como tomadora y la cuenta de esta. Días más tarde, se volvió a incluir al reclamante como tomador, pero la cuenta de cargo seguía siendo la de su expareja; finalmente, y tras diversas reclamaciones por el reclamante, se modificó la cuenta de cargo, pasando a ser la cuenta privativa del reclamante. CASER ha reconocido haber hecho efectivo el cambio de tomador del seguro y número de cuenta de cargo asociada sin haber seguido el procedimiento establecido para la modificación de una póliza de seguro de salud, esto es, sin haber recabado los “escritos firmados por el tomador cedente y el tomador que acepta”. El respeto al principio de licitud de los datos exige que conste acreditado que el titular de los datos consintió en el tratamiento de sus datos de carácter personal y desplegar una razonable diligencia imprescindible para acreditar ese extremo. De no actuar así, o concurrir alguna otra causa de legitimación, el resultado sería vaciar de contenido el principio de licitud. |
||
|
Arts. afectados: |
Art. 6.1 RGPD (Licitud del tratamiento) |
|
|
Resolución: |
40.000 euros (24.000 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
|
- Licitud del tratamiento – Sindical - |
||
|
80.000 euros a SERVISA por haber comunicado al sindicato CGT los datos de la anterior filiación del reclamante |
||
|
PROCEDIMIENTO |
«««« |
|
|
La reclamación se dirige contra SERVISA, en base a una comunicación indebida al sindicato CGT, datos de afiliación sindical anterior de un trabajador. La entidad comunicó al sindicato CGT, que el nombramiento de la reclamante como representante de los trabajadores que les comunicó el Sindicato Unitario de Huelva a finales del año 2020 puede resultar incompatible con el nombramiento que ahora comunica CGT. La reclamante expone que la entidad reclamada también reveló su afiliación sindical a varios medios de comunicación que han publicado noticias relacionadas con su despido. Aporta una carta remitida por la entidad reclamada solicitando a un medio de comunicación, Huelva24.com, que rectifique el contenido de la noticia publicada el 27/12/21, revelando en la carta "que el despido disciplinario es anterior a que el sindicato CGT Huelva la designara secretaria de la sección sindical de la empresa, pues de hecho A.A.A. pertenecía al ser despedida al Sindicato Unitario de Huelva". Aporta también la publicación de noticias en otros medios de comunicación con los datos de su despido, su nombre y datos de su afiliación sindical. Se considera que la parte reclamada ha comunicado los datos sindicales de la reclamante a terceros sin encontrarse en ninguno de los supuestos que a modo de excepción permiten su tratamiento según el artículo 9 del RGPD, además de la infracción del art. 6 RGPD al considerar que estamos ante un tratamiento ilícito de datos personales, ya que en este caso la parte reclamada trata los datos sindicales de la reclamante, por considerar que tenía interés legítimo para su tratamiento, pese a no contar con su consentimiento. |
||
|
Arts. afectados: |
Art. 6 RGPD (Licitud del tratamiento); Art. 9 RGPD (Tratamiento de datos sensibles) |
|
|
Resolución: |
40.000 cada infracción; 80.000 euros en total (48.000 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
Anotaciones: |
||
|
- Confidencialidad – Encargo Tratamiento y Aseguradora - |
||
|
80.000 euros al proveedor del servicio de una aseguradora por una filtración de datos de clientes |
||
|
PROCEDIMIENTO |
«««« |
|
|
EVERIS (actualmente NTT DATA) es proveedora de servicios de gestión de infraestructuras tecnológicas para REIAL AUTOMÒBIL CLUB DE CATALUNYA (en adelante, RACC), empresa prestadora de servicios de asistencia por cuenta de GACM SEGUROS GENERALES, como entidad reaseguradora de asistencia. Consta una brecha de seguridad de datos personales, categorizada como una brecha de confidencialidad, al haberse publicado en distintos foros la venta de los usuarios de una compañía de seguros dedica al sector del automóvil, así como los registros con información personal de clientes españoles de la compañía de seguros ZURICH. Indica la AEPD que las empresas de seguros o entidades aseguradoras manejan en el desempeño de su actividad datos personales de sus clientes o asegurados; ya desde el mismo momento de la suscripción y selección de riesgos para seguros de vida, siniestros, de salud, de automóvil, de incapacidad, etc., se suministra una gran cantidad información de carácter personal para poder tramitar las pólizas (datos de prestaciones médicas, facturas, certificados de defunción, etc.). Y recuerda que si bien las aseguradoras deben cumplir con la normativa de protección de datos, no solo ellas, la LOPDGDD y el RGPD también se aplican a los corredores de seguros, así como a las empresas que intervienen en la gestión de las mismas, quienes manejan y tratan los mismos tipos de datos personales. En el presente caso, en el momento de producirse la brecha de seguridad, no consta que EVERIS dispusiese de medidas de seguridad razonables en función de los posibles riesgos estimados para impedir la exposición de datos personales de los asegurados. |
||
|
Arts. afectados: |
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
|
|
Resolución: |
50.000 euros (Art. 5.1f RGPD); 30.000 euros (Art. 32 RGPD); 80.000 euros en total (64.000 por pago voluntario) |
|
|
|
|
|
|
- Licitud del tratamiento – Redes Sociales - |
||
|
10.000 euros por publicar una fotografía obtenida en redes sociales sin el consentimiento del interesado |
||
|
PROCEDIMIENTO |
«««« |
|
|
En el presente caso, la parte reclamante denuncia a la parte reclamada porque ha publicado en Instagram una foto en la que figuran los reclamantes vestidos con sus trajes de boda. Según la parte reclamada, en la foto la parte reclamante tiene la cara totalmente tapada por un círculo negro. La reclamada manifiesta que publica sus diseños desde 2014 en Instagram y que la base que legitima el tratamiento es el interés legítimo. Además, afirma que la foto se publicó por un espacio de una hora y se retiró cuando la novia pagó finalmente su vestido de boda. La Agencia considera que las imágenes publicadas por la parte reclamada si eran identificables y por eso fueron publicadas en Instagram por la reclamada con la finalidad de cobrar por las ventas efectuadas, En este sentido, ha de indicarse que la falta de pago no legitima a la parte reclamada a utilizar las imágenes de los reclamantes, si no cuenta con su consentimiento expreso, por lo tanto se ha incurrido en un tratamiento ilícito de datos personales. Además, no pueden ser objeto de tratamiento los datos personales obtenidos de una red social o de internet, sin que concurra alguna de las bases de legitimación previstas en el art. 6 del RGPD. Por lo tanto, se considera que estamos ante un tratamiento ilícito de datos personales, ya que en este caso la parte reclamada ni siquiera intentó obtener el consentimiento de los reclamantes para el uso de su imagen, dado que consideró que tenía interés legítimo para su tratamiento. |
||
|
Arts. afectados: |
Art. 6 RGPD (Licitud del tratamiento) |
|
|
Resolución: |
10.000 euros |
|
|
|
|
|