Noticias \ RSM20221111 - Resoluciones Relevantes


DP-CONTROL® - Boletín Resoluciones AEPD - 11/11/2022

Noticias

RESOLUCIONES RELEVANTES 08/10/2022 - 04/11/2022

Cartelería de videovigilancia, Licitud del tratamiento, Confidencialidad, Consentimiento comunicaciones comerciales, Información al interesado, Licitud, lealtad y transparencia, Consentimiento de menores, Medidas de seguridad, Ejercicios de derechos, Derecho de rectificación, ...

*

“(...) A partir de la entrada en vigor del RGPD, no puede hablarse de un concepto legal de “fuentes accesibles al público” como el que existía en la LOPD, ni tampoco podemos entender que el hecho de que los datos aparezcan en este tipo de fuentes legitime sin más el tratamiento, precisando en todo caso una base legitimadora para su tratamiento"

(ABL)

**********

 - Cartelería – Videovigilancia -

Sancionan a una joyería por no disponer de los distintivos de videovigilancia

Procedimiento:   PS/00352/2022   <<<<<

La denuncia se presenta porque la entidad denunciada como responsable de dos establecimientos cuentan en sus fachadas, en el acceso a dichos establecimientos, cámaras de videovigilancia susceptibles de captar la vía pública y no debidamente señalizadas mediante carteles informativos de zona videovigilada, aportando reportaje fotográfico. El reclamado aporta información de los sistemas de vídeo de cada una de las tiendas, aportando fotografías de los dispositivos y del campo de visión de las cámaras, en las que se aprecia que captan el interior de las joyerías y que las cámaras exteriores tienen introducidas máscaras de privacidad que ocultan el espacio de vía pública que excede del mínimo proporcional. Asimismo, aportan imágenes de los carteles expuestos, en las que se aprecia que la ubicación los hace visible pero no se ve el contenido de los mismos. En consecuencia, aunque no se aprecia vulneración del principio de minimización pese a enfocar parte de la vía pública (por cuanto es la captación es la mínima e imprescindible), sí que se considera vulnerado el deber de información al haber un cartel informativo del sistema de videovigilancia en cada uno de los locales denunciados, por cuanto no es posible comprobar si consta información sobre la existencia de un tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en la normativa de protección de datos

 

Artículos Afectados:   Art. 13 RGPD (Información al interesado)

Resolución:   300 € (180 € por pago voluntario y reconocimiento de responsabilidad)

**********

 - Legitimación – Página Web -

Sancionan a un centro de formación por publicar los resultados de un proceso selectivo en su web

Procedimiento:   PS/00520/2021   <<<<<

Los datos que se incluyen en la URL de la reclamada corresponden a un proceso selectivo del Servicio Gallego de Salud, aunque el reclamado lo incluye en una URL propia, sobre la que efectúa una seleccionada elaboración propia para ordenar por apellidos y orden de puntuación, dentro del turno xxxx. El listado aparece ordenado por total de puntos y consecuente número de orden, hasta 104 candidatos. La reclamante figura con las tres últimas cifras del NIF y apellidos y nombre, con la clave. La publicación oficial de esta baremación provisional de los aspirantes se hizo en la página web del SERGAS, según se habilitaba en la resolución de la Dirección General de Recursos Humanos. Como tal listado, no figura publicado en el citado Diario Oficial. La publicación oficial, se diferencia de la de la reclamada, en la copia de la oficial que aporta la reclamada en sus alegaciones, son 80 páginas, figurando mezclados los turnos, y ordenados por la puntuación total obtenida, la nota de la oposición y la de la fase de concurso (formación, experiencia, otras actividades), y por orden alfabético, figurando la reclamada en el listado tal como consta en la lista de la reclamada. La reclamada señala que publicó el listado porque da cursos de formación que cuentan en la baremación de los concursos, sin identificar en concreto que la reclamante hubiese dado alguno para su puntuación, o que cursos puede ser el que en este caso contaba, y que su base de legitimación es el interés legítimo, tratándose de información pública o accesible al público a la que los interesados no pueden oponerse por ser una obligación legal por el hecho de participar en un proceso selectivo


Artículos Afectados:   Art. 6.1 RGPD-EU (Licitud del tratamiento)

Resolución:   12.000 €

Anotaciones:   Sobre la alegación de la reclamada de que los datos publicados son datos “personales públicos” por proceder de una web, la del SERGAS, indica la AEPD que una web no es una fuente de acceso público atendiendo incluso a lo que de ella definía el RLOPD. Si a lo que se refiere es que un dato hecho público, este no lo ha sido por su titular, sino por una entidad pública que al amparo de la normativa vigente le puede legitimar para su publicación, con una finalidad concreta.

A partir de la entrada en vigor del RGPD, no puede hablarse de un concepto legal de “fuentes accesibles al público” como el que existía en la LOPD, ni tampoco podemos entender que el hecho de que los datos aparezcan en este tipo de fuentes legitime sin más el tratamiento, precisando en todo caso una base legitimadora para su tratamiento

**********

- Confidencialidad – Sector energético -

35.000 € por remitir contratos por error a otro cliente

Procedimiento:   PS/00099/2022   <<<<<

El reclamante interpone reclamación ante la AEPD contra OES GLOBAL ENERGY S.L, indicando que tiene contratos de suministro de gas y energía con la empresa FREE ENERGÍA, pero ha recibido un correo electrónico de OES, cuyo domicilio coincide con el de FREE ENERGÍA, en el que se adjuntan documentos de desistimiento de unos contratos de electricidad firmados por otros dos clientes, identificados con su nombre y DNI.

Tras las actuaciones de investigación, se indica por OES que el incidente descrito por la reclamante se produjo debido a un error puntual al incluir la dirección de email de la reclamante como destinatario de un correo interno de la compañía. Sin embargo, indica la AEPD que no cabe exculparse en la falta de intencionalidad, pues el hecho de que en el ámbito de la actividad ordinaria de la empresa, un trabajador, de manera imprudente, haya puesto en copia a la reclamante en un correo electrónico cuyos destinatarios deberían haber sido únicamente personal interno de la compañía, constituye una circunstancia que, más allá de las posibles medidas técnicas y/o organizativas que OES pudiese haber implementado en su momento, escapa al control efectivo de la empresa en cuanto es un error humano y puntual que ha consistido en no revisar los destinatarios de un correo electrónico interno previo a su envío.

Artículos Afectados:   Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)

Resolución:   25.000 € (Art. 5.1.f RGPD); 10.000 € (Art. 32 RGPD); 35.000 € en total

**********

- Confidencialidad – Correo electrónico -

5.000 € al remitir a varios destinatarios el certificado de retenciones de trabajadores de la empresa

Procedimiento:   PS/00101/2022   <<<<<

La reclamante expone que solicitó a RESTEXPERIENCE su certificado de retenciones, recibiendo por correo electrónico la reclamante y otros 11 destinatarios un fichero PDF en el que consta el certificado de retenciones de 36 trabajadores de la empresa. La entidad reclamada ha manifestado que este incidente no fue identificado como brecha de seguridad hasta que se recibió el  traslado de esta reclamación y, por este motivo, no se informó a la delegada de protección de datos ni se analizó su alcance para valorar la notificación a los interesados ni a la AEPD, indicando que las medidas de seguridad implantadas son auditadas cada dos años en materia de protección de datos, donde específicamente se revisen los procedimientos de envío de documentación que contenga datos personales. Sin embargo, la Agencia considera que la existencia de un solo caso es suficiente para denotar que las medidas de seguridad de la entidad reclamada no eran adecuadas en el momento de producirse el incidente objeto de reclamación y deben ser mejoradas porque queda constatado que no han sido suficientes para evitar los hechos denunciados.

 

Artículos Afectados:   Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad); Art. 33 RGPD (Notificaciones de brechas)

Resolución:   3.000 € (Art. 5.1.f RGPD); 2.000 € (Art. 32 RGPD); 5.000 € en total

Anotaciones:   La entidad reclamada reconoce las infracciones cometidas y solicita la doble reducción por reconocimiento de la infracción y pronto pago pero alega que debido a su situación económica no puede proceder al mismo, de manera que no se aplican las reducciones

**********

- Consentimiento – Comunicaciones comerciales -

Continúan las sanciones por envío de publicidad sin consentimiento

Procedimiento:   PS/00330/2022   <<<<<

Se denuncia por la parte reclamante ha recibido varios mensajes comerciales en su teléfono móvil de la entidad reclamada ABUNTIA SERVICES, S.L sin su consentimiento y sin tener relación anterior con la entidad emisora, adjuntando capturas de pantalla de los mensajes comerciales, certificado emitido por el Servicio de Lista Robinson y factura telefónica para acreditar la titularidad de la línea receptora. Pese a haberse notificado ha notificado a la entidad reclamada el acuerdo de inicio del presente procedimiento sancionador, éste no ha presentado alegaciones ni pruebas que contradigan los hechos denunciados, por lo que queda acreditada la comisión de la infracción.


Artículos Afectados:   Art. 21.1 LSSI (Consentimiento comunicaciones comerciales)

Resolución:   1.500 €

**********

- Confidencialidad – Correos electrónicos / Laboral -  

Sancionan a un miembro de la junta de personal por reenviar correos a terceros sin copia oculta

Procedimiento:   PS/00117/2022   <<<<<

La parte reclamante denuncia que el reclamado, ambos miembros de una misma junta de personal, de manera reiterada ha reenviado correos electrónicos a otras personas miembros y no miembros de la junta de personal y a correos corporativos de sindicatos y colectivos sin legitimación ni consentimiento por parte del reclamante, habiendo solicitado con anterioridad que no se enviara su correo a personas ajenas a la junta de personal.

La representación de FSP-UGT, por su parte, alega la inexistencia de la infracción de la entidad por el carácter corporativo de la cuenta de correo objeto de este supuesto, lo cual hace que su uso se encuentra estrictamente relacionado con el ámbito profesional de la junta de personal del centro de trabajo; y por otra parte indica que los correos electrónicos que denuncia el reclamante han sido enviados desde una cuenta de correo electrónico que no es propiedad de FeSP-UGT, habiéndose advertido en este aspecto a los trabajadores de UGT, aportando un escrito recordatorio de dichas obligaciones a los trabajadores.

Por ello, considera la AEPD que FSP-UGT queda eximido de toda responsabilidad, pero no el reclamado (un particular) que envió los correos, que ha realizado un tratamiento de los datos personales del reclamante excesivo porque los correos electrónicos objeto de esta reclamación se remitieron también a personas ajenas a la junta de personal, y más cuando es posible su omisión con el uso de herramientas como copia oculta, cuando se le ha requerido por el titular de ese dato personal que el mismo no sea utilizado al manifestar expresamente que no consiente el tratamiento de su correo electrónico, en ejercicio de su derecho de oposición.


Artículos Afectados:   Art. 5.1.f) RGPD (Confidencialidad)

Resolución:   2.000 €

**********

- Confidencialidad – Entidades bancarias -

70.000 €  a BBVA por revelar a un cliente el domicilio particular de su abogado

Procedimiento:   PS/00375/2022   <<<<<

La parte reclamante, es titular de una cuenta bancaria como cliente particular de BBVA, disponiendo la entidad de sus datos correspondientes a su domicilio particular. Con fecha 25/11/2020, actuando como abogado, el reclamante presentó ante BBVA una reclamación en nombre y representación de un tercero. BBVA acusó recibo de la reclamación mediante escrito dirigido a la parte reclamante y a su domicilio personal, el asociado a su ficha de cliente particular como titular de una cuenta bancaria abierta en este Banco. Con posterioridad, BBVA facilitó al tercero representado por el abogado reclamante el documento de acuse de recibo de la reclamación, poniéndole de manifiesto el dato relativo al domicilio personal del letrado que no era conocido por ella. Estos hechos son constitutivos de 3 infracciones:

- BBVA utilizó el dato personal del reclamante relativo al domicilio particular para la tramitación de una reclamación formulada en su condición de abogado, lo que supone un incumplimiento del principio de limitación de la finalidad al haber utilizado ese dato (domicilio particular) para fines distintos incompatible para la finalidad para la que se recogieron (tramitar una reclamación en el ejercicio de una actividad profesional).

- Por otra parte, utilizó los datos personales de la parte reclamante registrados en su ficha de cliente particular para la tramitación de una reclamación formulada por esta parte reclamante en nombre de un tercero, facilitando a ese tercero el documento de acuse de recibo de dicha reclamación, dándole a conocer el dato personal de la parte reclamante relativo a su domicilio particular, lo que acredita la falta de medidas técnicas y organizativas adecuadas.

- Asimismo, dicha comunicación de datos se materializa en la divulgación a terceros de los datos personales, difusión de datos personales para la que la parte reclamada no disponía de base jurídica que la legitime.


Artículos Afectados:   Art. 5.1.b RGPD (Limitación del tratamiento); Art. 5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)

Resolución:   25.000 € (Art. 5.1.b RGPD); 25.000 € (Art. 5.1.f RGPD); 20.000 € (Art. 32 RGPD); 70.000 € en total

Anotaciones:   Indica la AEPD que no puede admitirse que la actuación de la entidad reclamada derive de un error. Admitir que no procede exigir responsabilidad por los hechos analizados, en base a un supuesto error, sería tanto como admitir que pueda ignorarse la aplicación del RGPD y la LOPDGDD, además de que no puede estimarse la existencia de tal error cuando éste es imputable a quien lo padece o pudo ser evitado con el empleo de una mayor diligencia.

**********

- Legitimación e Información al interesado – Página Web -

10.000 € por no disponer de una casilla de aceptación ni informar adecuadamente del tratamiento de datos en la web

Procedimiento:   PS/00047/2022   <<<<<

Se denuncia por parte del afectado que, con motivo de una entrevista de trabajo, en ningún momento fue debidamente informado del tratamiento de datos durante la entrevista, ni en la web corporativa de la empresa, sin que conste ninguna información relativa al RGPD ni a la política de privacidad. La AEPD constata que, a través de la pestaña “Contac” de la web, se pueden obtener datos personales de los usuarios, apareciendo un formulario donde se pueden introducir el nombre, el correo electrónico y el asunto; donde solamente se debe cliquear en la opción «enviar».

Sobre la obtención de datos personales y la falta de consentimiento del usuario en la página web, indica la AEPD que cuando el tratamiento de los datos personales se realiza a través de un sitio web, la “Política de Privacidad” de la página es el documento, a través del cual, el titular de la web debe informar sus clientes y usuarios sobre la gestión que realizará de los datos personales que se recopilarán al navegar en el sitio. Por tanto, antes de que el usuario facilite sus datos personales y dé su consentimiento al tratamiento de estos, se le debe facilitar un acceso simple y directo a la “Política de Privacidad” de la web. El hecho de que el responsable de la página web www.madridlaw.es pueda obtener datos personales de los usuarios sin haber obtenido previamente su consentimiento para el tratamiento de estos, mediante un acto afirmativo claro y voluntario, constituye una infracción del artículo 6.1 del RGPD.

Sobre la “Política de Privacidad”: El hecho de que el responsable de la página web proporcione, en la “Política de Privacidad”, por una parte, de información en un idioma no oficial en España, y por otro, de información insuficiente, careciendo, por ejemplo, de la identidad y los datos de contacto del responsable; los datos de contacto del delegado de protección de datos, en su caso; los destinatarios de los datos personales y de la información necesaria para ejercitar los derechos que asisten a los usuarios, cómo y dónde ejercitarlos, es constitutivo de una infracción al artículo 13 del RGPD.


Artículos Afectados:   Art. 6.1 RGPD (Legitimación del tratamiento); Art. 13 RGPD (Información al interesado

Resolución:   5.000 € cada infracción; 10.000 € en total

**********

- Consentimiento, información y menores – Página Web -

525.000 €: 11 sanciones en una única resolución a una entidad propietaria de diversas páginas para adultos

Procedimiento:   PS/00555/2021   <<<<<

En el marco de las potestades de investigación de la AEPD, se ha requerido a la entidad TECHPUMP SOLUTIONS, S.L. para que aporte información acerca de varias cuestiones. Tras las actuaciones de investigación de la APED, y las pruebas aportadas por la entidad, se considera:

1.- Falta de lealtad y transparencia: vaguedad, falta de concreción y de transparencia respecto de los datos personales tratados y la información suministrada al efecto a los usuarios. No se informa específicamente de otros datos personales que se recopilan y se comparten, como los contenidos en el perfil de usuario: edad, sexo, país y ciudad (localización), dirección IP, fotografía de perfil y los vídeos que decida compartir el usuario (imagen y voz), así como sus comentarios.

2.- Limitación de la finalidad: La entidad reconoce que recopila el dato de la I.P. no sólo para la gestión de los datos de los usuarios para la entrega de publicidad digital (finalidad propia), sino también con la finalidad de suministrarla a las FCSE, finalidades distintas entre sí. Dicha finalidad no está recogida ni en el registro de actividades de tratamiento, ni en la política de privacidad, y ni tan siquiera es conocida por el interesado. Realiza tratamientos de datos personales porque pueden ser útiles en un futuro al responsable del tratamiento, lo que supone una vulneración del principio de limitación de la finalidad.

3.- Conservación de los datos personales: No se especifica ningún plazo de conservación. Aunque la base legitimadora del tratamiento sea el consentimiento, esta no puede abarcar el mantenimiento con carácter indefinido de los datos recopilados por el responsable del usuario. Y nada se indica, ni a la AEPD ni al interesado, sobre el plazo de conservación de los datos personales en relación con las finalidades propias de uso de la IP para suministrarla a las FCSE o de realización de compras.

4.- Obtención de datos personales y la falta de consentimiento del usuario: Las políticas de privacidad de todas las páginas web se encontraban redactadas en un idioma no oficial en España, es inglés y por tanto no estaba redactado en un lenguaje claro e inteligible para todos los destinatarios, algunas con casillas premarcadas en la opción de acepto; en otras en el apartado de contacto no disponían de la información previa sobre el tratamiento; y en otras no existía ningún acceso simple y directo a la “Política de Privacidad” de la web ni ningún mecanismo que obtenga el consentimiento del interesado.

5.- Falta de información al interesado: En las diversas webs no se suministra a los interesados toda la información impuesta por el RGPD (se omiten algunos tratamientos que efectivamente llevan a cabo) y tampoco se informa de la posibilidad de revocar los consentimientos en los formularios de las webs, ni de poder dirigirse a la Autoridad de Control

6.- Información al interesado en inglés: el castellano es el idioma oficial en el Estado español. Además, las páginas web van dirigidas al mercado español, lo cual se pone de manifiesto mediante el hecho indubitado de que toda la página web está en este idioma y no en inglés. Por tanto, la información debe suministrarse en el idioma del país al que se dirija la página web.

7.- Ejercicio de derechos y la presentación del DNI: se establece con carácter general y conditio sine qua non, la aportación del DNI o pasaporte del interesado como exigencia para atender el derecho que se ejercite y en todos los casos, sin analizar previamente si se planteaban o no dudas razonables, contraviniendo el art. 12.2 RGPD.

8.- Contenido obligatorio del RAT: no indica quién es el responsable del tratamiento, sino las unidades administrativas con acceso a tales ficheros. Tampoco recoge las medidas de seguridad, ni contiene todos los fines del tratamiento, las categorías de interesados, datos objeto del tratamiento...

9.- Consentimiento de los menores de edad: Si bien en los banners de las distintas páginas web indican que el contenido es para mayores de 18 años, también se indica que "Los menores de 14 años no pueden dar sus datos personales en nuestros formularios de recogida de datos, ya que es contrario al artículo 8 RGPD. En caso de que se requiera el consentimiento del menor, éste deberá ser otorgado por, y por tanto recabar datos de, la persona que ostenta la patria potestad y/o tutela del menor”. Por tanto, entiende la AEPD que resulta de aplicación el art. 8 RGPD al ofrecer el servicio a menores de 14 años, sin que en las páginas webs exista ningún instrumento que verifique que el usuario que se pretende registrar es titular de la patria potestad o que sea mayor de 14 años.

10.- Privacidad desde el diseño: del análisis del procedimiento se comprende que la entidad está tratando datos personales de los usuarios de sus páginas webs directamente, sin pararse a evaluar el ciclo de tratamiento de los datos, qué datos se van a tratar, en qué consiste exactamente la finalidad prevista respecto del tratamiento, unida a la valoración de los plazos de conservación de los datos en todos los casos, las cesiones de datos, los riesgos presentes, la adopción de medidas técnicas y organizativas apropiadas para evitar su materialización, cómo y qué ha de suministrarse como información, el procedimiento de gestión de ejercicio de derechos o la solicitud del consentimiento..., poniendo de manifiesto la ausencia total de privacidad desde el diseño.

11.-Advertencia de contenido para adultos: las limitaciones o cautelas previstas en las páginas webs, son claramente insuficientes para limitar el acceso a los menores, tanto de forma directa a usuarios registrados como no registrados. Si bien hay mecanismos para declarar la edad, no existe ninguno para comprobarla ulteriormente, ni ninguno para verificarla ab initio. Las páginas webs de la entidad deben adecuar el tratamiento de sus datos personales al RGPD, por lo que se deben adoptar medidas de seguridad apropiadas mediante las que se verifique la edad de los usuarios, registrados o no, que accedan a las páginas webs de su propiedad, garantizando que son mayores de edad.

12.- Cookies: Se incurren en varias infracciones, al instalar cookies de terceros sin consentimiento del usuario, no facilitar información en la primera capa de cookies, no permitir gestionar las cookies para rechazarlas en bloque o gestionarlas de manera granular, y facilitar información de las mismas en un idioma no oficial en España (inglés).

 

ARTS AFECTADOS:   Art. 5.1.a RGPD (licitud, lealtad y transparencia); Art. 5.1.b RGPD (Limitación de la finalidad); Art. 5.1.e RGPD (Limitación del plazo de conservación); Art. 6.1 RGPD (Legitimación del tratamiento); Art. 13 RGPD (Información del interesado); Art. 12.1 RGPD (Transparencia de la información); Art. 12.2 RGPD (Facilitar el ejercicio de derechos); Art. 25 RGPD (Privacidad desde el diseño); Art. 22.2 LSSI (Consentimiento de cookies); Art. 8 RGPD (Consentimiento de menores de edad); Art. 30.1 RGPD (Registro de Actividades de tratamiento)

Resolución:   75.000 € (Art. 5.1.a RGPD); 75.000 € (Art. 5.1.b RGPD); 75.000 € (Art. 5.1.e RGPD); 125.000 € (Art. 6.1 RGPD); 15.000 € (Art. 13 RGPD); 25.000 € (Art. 12.1 RGPD); 25.000 € (Art. 12.2 RGPD); 50.000 € (Art. 25 RGPD); 25.000 € (Art. 22.2 LSSI); 30.000 € (Art. 8 RGPD); 5.000 € (Art. 30.1 RGPD)

Anotaciones:   Se acumula en total 525.000 €

**********

- Licitud del tratamiento – Entidades de crédito -

Sancionan a una entidad de crédito por seguir requiriendo el pago de una deuda ya satisfecha

Procedimiento:   PS/00211/2022   <<<<<

El reclamante manifiesta que MintServicesle está reclamando una deuda de la parte reclamada, sobre la que obtuvo una resolución favorable del Juzgado, en la que se declara la deuda pagada, además de condenar a la entidad al abono de una cantidad a la parte reclamante. Meses después, reciben de parte de la entidad MintService, representando a RapidoFinance, requiriendo el pago de dicha deuda. En consecuencia, del presente supuesto se desprende la falta de diligencia desplegada por la entidad en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos de carácter personal, toda vez que trató los datos personales del reclamante sin legitimación para ello.


Artículos Afectados:   Art. 6.1 RPGD (Licitud del tratamiento)

Resolución:   2.000 €

**********

- Confidencialidad – Telecomunicaciones -

70.000 € a Vodafone por remitir al reclamante el contrato de otro cliente

Procedimiento:   PS/00164/2022   <<<<<

Indica que ha solicitado a VODAFONE copia de su contrato telefónico porque no está aplicando la tarifa contratada. Que lo ha solicitado en varias ocasiones sin que se lo remitan (infracción de su derecho de acceso a sus datos personales). Finalmente recibe correo electrónico con el contrato telefónico de otro cliente, vulnerando el secreto de los datos personales de dicho cliente.

Junto a la notificación se aporta un archivo de audio en formato mp3, en el que puede escucharse una grabación en la que intervienen dos personas, una en nombre de VODAFONE, y otra que se identifica un tercero distinto al reclamante, de manera que fueron indebidamente expuestos a la parte reclamante que los recibió por correo electrónico, habiendo tenido por tanto acceso al nombre, DNI y nº de teléfono de una persona desconocida, sin que conste autorización de dicha persona para exponer sus datos a un tercero, ni haber causa legitimadora para ello. De los hechos se deduce que VODAFONE no contaba con las medidas técnicas y organizativas apropiadas para evitar el incidente, ya que se envió por correo electrónico una grabación que corresponde a otro cliente, donde se escuchan los datos personales de dicho cliente.


Artículos Afectados:   Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)

Resolución:   50.000 € (Art. 5.1.f RGPD); 20.000 € (Art. 32 RGPD); 70.000 € (56.000 € por pago voluntario)

**********

-Licitud del tratamiento  – Laboral -

Sancionan a una empresa agrícola por dar de alta en la Seguridad Social a un trabajador sin su consentimiento

Procedimiento:   PS/00097/2022   <<<<<

El reclamante manifiesta que la entidad reclamada ha utilizado sus datos personales dándole de alta sin su consentimiento en el Régimen General de Trabajadores de la Seguridad Social. Se aporta por el reclamante copia de una denuncia por el extravío de Bolso Bandolera el cual contenía toda su documentación (DNI y Permiso de Conducir) que había ocurrido meses atrás. La empresa reclamada reconoce por su parte que recibió a través de manijero los datos de DNI del reclamante a través de conversación telefónica, con objeto de mecanizar el alta para el día 26/10/2020, ya que ese mismo día estaba prevista su incorporación como trabajador para prestar sus servicios como Peón Agrícola. Una semana después sin que constase que el trabajador se había incorporado, procedió a la baja del reclamante. Considera la AEPD que no ha quedado acreditado que el titular de los datos hubiera consentido la contratación y que el responsable del tratamiento pueda acreditarlo, además de no actuar con la diligencia debida, ya que no ha llegado a aportar ningún documento que explique el origen de los datos del reclamante que han sido objeto de tratamiento.


Artículos Afectados:   Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:   5.000 €

**********

- Derecho de rectificación – Entidades bancarias -

25.000 € a CaixaBank por no haber atendido en tiempo y forma una solicitud de rectificación de datos

Procedimiento:   PS/00183/2022   <<<<<

El reclamante, cliente Caixabank, manifiesta que el 8 de octubre de 2017 actualizó sus datos de domicilio a través de su acceso online, pero en el año 2020 comprueba que existen documentos en los que consta su antigua dirección. El reclamado solicitó nuevamente y en varias ocasiones la rectificación de su dirección postal, a través de su espacio Mi Gestor de Caixabank.es (sin respuesta); a través de servicio.cliente@caixabank.com, solicitándose por Caixabank información adicional al reclamante para poder realizar la gestión oportuna, sin que meses después se hubiera procedido a la rectificación. Considera la AEPD que se ha producido una falta de atención al derecho de rectificación de datos, por parte de Caixabank; al no haber atendido la solicitud y haciendo constar en algunas comunicaciones la antigua dirección, pese a que la nueva dirección del reclamante consta utilizada por Caixabank en algunas comunicaciones. Caixabank no aporta la información solicitada en relación con cómo y cuándo se han producido los cambios a esa dirección postal ni el motivo de dicho cambio. Tampoco aporta información en relación con que se haya producido una modificación a esta dirección en ningún momento.


Artículos Afectados:   Art. 16 RGPD (Derecho de rectificación)

Resolución:   25.000 €

**********

- Consentimiento, información y menores – Página Web -

75.000 € a la titular de una web para adultos por múltiples infracciones en protección de datos

Procedimiento:   PS/00554/2021   <<<<<

Al igual que en el PS/00555/2021, se siguen argumentaciones y alegaciones similares tanto por parte de la AEPD, como del reclamado (en ambos casos tienen nombrado al mismo DPO). Las únicas diferencias son en relación con determinadas infracciones que en este caso no se pronuncian (aquí no hay infracción por la falta de legitimación en las casillas de verificación de los apartados de contacto, la web ofrece la información en español y no en inglés).

Como curiosidad, en abril de 2022 salieron otras dos resoluciones en circunstancias similares (PS/00483/2021 y PS/00482/2021) que optaron por el pago voluntario. Estas dos no tenían designado DPD.


Artículos Afectados:   Art. 5.1.a RGPD (licitud, lealtad y transparencia); Art. 5.1.b RGPD (Limitación de la finalidad); Art. 5.1.e RGPD (Limitación del plazo de conservación); Art. 13 RGPD (Información del interesado); Art. 12.2 RGPD (Facilitar el ejercicio de derechos); Art. 30.1 RGPD (Registro de Actividades de tratamiento); Art. 8 RGPD (Consentimiento de menores de edad); Art. 22.2 LSSI (Consentimiento de cookies); Art. 25 RGPD (Privacidad desde el diseño)

Resolución:   15.000 € (Art. 5.1.a RGPD); 15.000 € (Art. 5.1.b RGPD); 15.000 € (Art. 5.1.e RGPD); 3.000 € (Art. 13 RGPD); 5.000 € (Art. 12.2 RGPD); 1.000 € (Art. 30.1 RGPD); 6.000 € (Art. 8 RGPD); 10.000 € (Art. 25 RGPD); 5.000 € (Art. 22.2 LSSI)

Anotaciones:   En total asciende a 75.000 €

**********

- Confidencialidad – Sistemas de paqueterías -

70.000 € a UPS por entregar un paquete al vecino sin consentimiento del interesado

Procedimiento:   PS/00280/2022   <<<<<

Se denuncia a la empresa de reparto (UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC). Expone que su pedido fue entregado a una de las vecinas de la comunidad en la que reside, sin previo aviso y por tanto, sin contar con su consentimiento previo y expreso, incumpliendo, además, la Ley 43/2010 del Servicio Postal Universal. Asimismo, aduce que ejercitó el derecho de oposición, sin obtener respuesta alguna. UPS presentó escrito de alegaciones en el que, en síntesis, manifestaba que en el caso que nos ocupa es un prestador de servicios que tiene cumplir los servicios acordados con MEDIA MARKT bajo las condiciones previstas en el contrato suscrito entre ambos. En este sentido, cabe señalar que actúa y procede según lo acordado con MEDIA MARKT, y con el objeto de garantizar la entrega del pedido en el plazo y forma acordado con MEDIA MARKT, siempre en favor y en interés del propio denunciante, remitiéndose a la cláusula 10 y 11 de los términos y condiciones del contrato que las rige.

En dichas cláusulas, se recoge, por un lado, la posibilidad de entrega del paquete al vecino en ausencia del destinatario; y por otro, la obligación del remitente del envío, en este caso MEDIA MARKT, de informar debidamente al destinatario sobre el tratamiento de sus datos en el marco de los servicios que ofrece la entidad reclamada. UPS no tenía constancia de que en el envío concreto al denunciante se hubiera tenido que proceder de una forma específica o distinta a lo acordado con MEDIA MARKT.

El hecho de tener firmado un contrato con MEDIA MARKT no deja exento de responsabilidad a UPS, porque en este caso no se ha concretado si estamos ante un contrato de servicios o bien un contrato celebrado entre responsable y encargado del tratamiento de datos personales, siendo en este segundo caso, de obligado cumplimiento que se cumplan todas las garantías exigidas de conformidad con el artículo 28 del RGPD. En este caso concreto, la parte reclamada ha aportado los términos y condiciones que rigen el contrato suscrito con MEDIA MARKT para alegar que ha actuado de conformidad con dicho contrato de prestación de servicios, según el cual debe ser MEDIA MARKT quien solicite el consentimiento de su cliente cuando este solicite el servicio de entrega del producto por mensajería. Sin embargo, no se ha acreditado que entre MEDIA MARK y UPS se haya suscrito el contrato que debe regir las relaciones entre responsable y encargado del tratamiento de datos personales según se establece en el artículo 28.3 del RGPD donde se detallan las instrucciones precisas para el tratamiento de datos personales dadas por el responsable.

 

Artículos Afectados:    Art. 5.1.f) RGPD (Confidencialidad); Art. 32 del RGPD (Medidas de seguridad)

Resolución:    50.000 € (Art. 5.1.f) RGPD); 20.000 € (Art. 32 RGPD); 70.000 € en total

Anotaciones:    El contrato de UPS puede verse en este enlace

https://www.ups.com/assets/...

**********

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857