Noticias \ RSM20230112 - Resoluciones Relevantes


Noticias

RESOLUCIONES RELEVANTES 05/12/2022 - 05/01/2023

Correo electrónico, Notarías, Licitud, Legitimidad, Minimización de datos, Redes Sociales, Cartelería...

*

“Recientemente el Tribunal Supremo (STS 22 julio 2022) unifica el criterio para la instalación de cámaras “ocultas” considerando las mismas como una medida proporcionada en ciertos supuestos al ser acorde al fin perseguido, que no es otro que el descubrimiento de actos delictivos realizados de manera furtiva evitando como es lógico ser “sorprendidos” en la realización material de éstos.

(ABL)

**********

- Confidencialidad – Correo electrónico -  

5.000 euros por confundir los destinatarios al contestar una reclamación por correo electrónico

PROCEDIMIENTO

PS/00113/2022  

La parte reclamante inició un proceso de reclamación con INDECEMI y recibió un email con los datos personales (nombre, apellidos, NIF, domicilio, teléfono y dirección de correo electrónico) de otra persona que también estaba en proceso de reclamación, quien, a su vez, recibió un correo electrónico con los datos personales de la parte reclamante. Junto a la notificación se aporta la hoja de reclamaciones que presentó a INDECEMI, y un correo electrónico recibido donde le piden disculpas por el error cometido. En consecuencia, consta una brecha de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una brecha de confidencialidad, al haberse enviado por correo electrónico a otro cliente de INDECEMI, la hoja de reclamación de la parte reclamante, en la que constan sus datos personales.

Arts. afectados:

Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD  (Medidas de seguridad)

Resolución:

3.000 euros (Art. 5.1.f RGPD); 2.000 euros (Art. 32 RGPD); 5.000 euros en total

 

 

**********

- Legitimación – Notarías -  

10.000 euros a un notario por consultar los datos del catastro sin legitimación para ello

PROCEDIMIENTO

PS/00459/2022  

Los reclamantes manifiestan que el 17 de noviembre de 2020 la parte reclamada, notario de la localidad, ha consultado en la sede electrónica del catastro, los bienes de los que son titulares pese a que los reclamantes no le han efectuado encargo profesional alguno que requiera la consulta de tales datos. Se aporta documento sobre los accesos a información que se han producido con relación a la referencia catastral de un inmueble de su titularidad. Este servicio proporciona un listado de todas las certificaciones catastrales y consultas de datos protegidos solicitadas a través de la sede electrónica del catastro, relativas al inmueble asociado a la referencia catastral indicada, realizadas por los cotitulares de dicho inmueble, o por las entidades legalmente autorizadas de acuerdo con el artículo 53 del Texto Refundido de la Ley del Catastro Inmobiliario. El 17 de noviembre de 2020, se producen varias consultas por el notario reclamado pese a no haberse requerido sus servicios, por lo que consideran que se han realizado de forma ilícita al carecer de legitimación para ello, ya que en el listado de accesos de información a través de la sede electrónica del catastro, se indica que se solicitaron sobre el inmueble dos consultas y certificación de bien inmueble y seguidamente, una tercera consulta y certificación por el titular catastral (por NIF), todas ellas realizadas por la notaría, pese a no habérsele requerido por los titulares de dicho inmueble ninguna de estas tres consultas.

El reclamado no ha contestado al requerimiento de la AEPD, por lo que se considera que el notario, al realizar una consulta en el catastro careciendo de legitimación para ello, al no haberse requerido de sus servicios por los titulares del inmueble, y justificar así el objeto de su consulta en la sede electrónica del catastro, habría vulnerado el artículo 6 del RGPD

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

10.000 euros (8.000 euros por pago voluntario)

 

 

**********

- Legitimación – Telecomunicaciones -  

La AEPD anula la sanción de 70.000 euros a Orange por demostrar que actuó con diligencia

PROCEDIMIENTO

PS/00102/2022 REPOSICIÓN PS/00102/2022

La reclamante manifiesta que con fecha 22 de julio de 2019 recibió una llamada del departamento jurídico de la parte reclamada notificándole el impago de varias facturas por contratación de varias líneas de teléfono por un total de XXX euros, que comunico a dicho departamento que ella no tenía ni había contratado nunca estas líneas y que por tanto alguien había usurpado su identidad. La contratación en Jazztel se realiza en el canal TELEVENTA, el 25 de marzo de 2018, utilizando un SMS Certificado que incluye adjunto el comprobante de venta y la grabación de la contratación o VPT. Dicha contratación constó de dos portabilidades provenientes de la empresa de telecomunicaciones Vodafone. Posteriormente, el 25 de mayo de 2018 tiene lugar la contratación, a nombre de la reclamante, de otros servicios en la marca ORANGE, contratación en la que consta también dos portabilidades provenientes de Jazztel. No fue hasta la recepción de la reclamación trasladada por la AEPD cuando la parte reclamada reaccionó y procedió a catalogar la contratación como irregular, efectuando los ajustes económicos necesarios para que no constase ningún tipo de deuda asociada al impago de los servicios contratados de forma irregular a nombre de la reclamante. La falta de diligencia desplegada por la entidad en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos de carácter personal es, pues, evidente: Los datos personales fueron incorporados a los sistemas de información de la compañía, sin que haya acreditado que hubiese contratado legítimamente, dispusiera de su consentimiento para la recogida y el tratamiento posterior de sus datos personales, o existiese alguna otra causa que hiciese lícito el tratamiento efectuado.

No obstante, Orange aportó la grabación de voz de verificación del consentimiento verbal otorgado en la contratación y el certificado emitido por Digitel On Trust Services S.L., como tercero verificador independiente de la contratación por tanto actuó con razonable diligencia en la misma y en el tratamiento de datos personales que conlleva. Concluir por tanto señalando que el recurrente en todo momento ha actuado diligentemente, por lo que procede la estimación del recurso de reposición interpuesto por el recurrente.

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

Estimación del recurso y anulación de la sanción de 70.000 euros

 

 

**********

- Licitud – Telecomunicaciones -  

Triple sanción de 70.000 euros cada una a Vodafone por emitir un duplicado de la tarjeta SIM a un tercero

PROCEDIMIENTO

PS/00290/2022 PS/00295/2022 PS/00296/2022

- En el primero de los supuestos, Vodafone facilitó un duplicado de la tarjeta SIM de la parte reclamante a un tercero, sin su consentimiento y sin verificar la identidad de dicho tercero, el cual, ha accedido a información contenida en el teléfono móvil, tales como datos bancarios, contraseñas, dirección de correo electrónico y otros datos personales asociados al terminal. Así pues, no verificó la personalidad del que solicitó el duplicado de la tarjeta SIM, no tomó las cautelas necesarias para que estos hechos no se produjeran, quedando en entredicho la diligencia empleada por parte de la reclamada para identificar a la persona que solicitó un duplicado de la tarjeta SIM

- En el segundo caso, un establecimiento físico de Vodafone facilitó un duplicado de la tarjeta SIM de la parte reclamante a un tercero, sin su consentimiento y sin verificar la identidad de dicho tercero. Así pues, la reclamada, no verificó la personalidad del que solicitó el duplicado de la tarjeta SIM, no tomó las cautelas necesarias para que estos hechos no se produjeran. En base a lo anteriormente quedando en entredicho la  diligencia empleada por parte de la reclamada para identificar a la persona que solicitó un duplicado de la tarjeta SIM.

- En el último supuesto, se tramitó un cambio de SIM sobre la línea perteneciente a la parte reclamante, y que dicho cambio de SIM fue solicitado de forma telefónica. Vodafone facilitó un duplicado de la tarjeta SIM de la parte reclamante a un tercero, sin su consentimiento y sin verificar la identidad de dicho tercero, por lo que no tomó las cautelas necesarias para que estos hechos no se produjeran, quedando en entredicho la diligencia empleada por parte de la reclamada para identificar a la persona que solicitó un duplicado de la tarjeta SIM.

Arts. afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

70.000 euros cada resolución (56.000 euros por pago voluntario); 210.000 euros en total entre las tres (168.000 euros por pago voluntario)

 

 

**********

- Información y licitud – Redes Sociales -  

6.000 euros por publicar datos personales en redes sociales sin consentimiento del interesado

PROCEDIMIENTO

PS/00122/2022  

En el presente caso, la entidad reclamada es titular de un perfil de Facebook y de una web. La parte reclamada insertó comentarios en la citada red social y en la web de su titularidad relativos al interesado, incorporando a los mismos sus datos personales, tales como el nombre y apellidos, teléfono empleado como mecanismo de cobro y cuenta bancaria, además de otra información sobre la actividad que desarrolla el interesado y sobre un procedimiento en el que interviene como parte demandada. La reclamada manifiesta que el interesado incumplió el contrato de arrendamiento de negocio que les vinculaba, por cuanto con posterioridad a la finalización del contrato continuó ocupando el negocio y las instalaciones. Por este motivo, alega la reclamada que se vio obligada a advertir sobre la indicada situación a clientes y proveedores, realizando los comunicados necesarios en defensa de su negocio.

Sin embargo, la resolución del contrato fue controvertida, como lo prueba el hecho de que la parte reclamada formuló demanda con tal objeto. Por tanto, en el momento en que se realizan los tratamientos de datos personales de la parte reclamante, insertando la información antes detallada en la página web de la parte reclamada y en su perfil de Facebook, la finalización del contrato no estaba resuelta. En todo caso, dicha situación no legitimaba a la parte reclamada para utilizar los datos en cuestión, insertándolos en comentarios accesibles a través de internet sin restricción alguna, cuyo contenido, además, iba más allá de un mero aviso a clientes y proveedores.

Arts. afectados:

Art. 13 RGPD (Información al interesado); Art. 6 RGPD (Legitimación del tratamiento)

Resolución:

2.000 euros (Art. 13 RGPD); 4.000 euros (Art. 6 RGPD); 6.000 euros en total

 

 

**********

- Licitud del tratamiento – Centro sanitario -  

20.000 € a una Clínica por un formulario con casillas premarcadas y no facilitar el consentimiento firmado

PROCEDIMIENTO

PS/00204/2022  

Según el reclamante, cuando acudió a la Clínica Recoletas para realizarse unos análisis, en la recepción le dieron un Tablet para que firmara el documento de protección percatándose de que las casillas del formulario estaban premarcadas en la opción de aceptadas. Cuando se negó a aceptar los puntos 2 y 3 del formulario la recepcionista hizo algo en la Tablet y la volvió a pasar con los ítems desmarcados pudiendo entonces marcar los que el paciente estimó oportunos. Estos hechos fueron corroborados por la Clínica en el escrito remitido al reclamante donde le informan, respecto a las casillas premarcadas, lo siguiente: “Nuestras cláusulas nunca aparecen premarcadas, si bien, por error el personal de admisión las marcó en vez de explicarle las opciones para que fueran marcadas por usted tal y como marca la ley”. El reclamante aporta junto al escrito presentado a la AEPD, copia de la hoja de reclamación que interpuso ante la Clínica, además de denunciar los hechos expuestos, indica que no le han facilitado el documento firmado.

Sobre la deficiencias en la recogida del consentimiento: la licitud del tratamiento de datos personales que realiza la Clínica para la gestión del historial clínico del reclamante está amparado en el punto b) del art. 6.1 RGPD (ejecución de un contrato). Para cualquier otro fin distinto, la Clínica solicita el consentimiento del afectado a través de casillas en el formulario. No obstante, el reclamante se encontró con las casillas premarcadas para ceder los datos personales a otras empresas y para recibir comunicaciones comerciales.

Sobre la gestión de la solicitud de acceso: en el escrito que el reclamante presentó ante la dirección de la Clínica denunciaba textualmente “no haber recibido el documento de protección de datos firmado en la Tablet” pero en la contestación que hace la dirección de la Clínica a esta reclamación no se hace referencia en ningún momento a este hecho ni tampoco se le facilita dicha información. se ha contestado al derecho de acceso del reclamante tras la reclamación interpuesta ante la AEPD, pero esta actuación no produce en sí misma una reducción de los prejuicios sufridos por el concreto interesado si no que lo único que se ha producido es la actuación obligada por la norma

Arts. afectados:

Art. 6.1 RGPD (Legitimación del tratamiento); Art. 15 RGPD (Derecho de acceso) en relación con el art. 12 (información al interesado)

Resolución:

20.000 euros (16.000 euros por pago voluntario)

 

 

**********

- Información al interesado – Videovigilancia -  

Archivo de contra un Colegio que no informó de la instalación de nuevas cámaras de videovigilancia

PROCEDIMIENTO

AI/00357/2022  

El reclamante alega haber sido grabado por medio de cámaras que anteriormente no existían, y cuya instalación no se ha informado a los trabajadores del Centro, ni ha firmado documento alguno dónde se le informara que se le está grabando. La entidad reclamada, FUNDACIÓN SAN MARCIANO JOSÉ, reconoce ser responsable de la instalación de un sistema de videovigilancia, el cual está debidamente informado mediante carteles informativos en todo el centro, aportando prueba documental de tal extremo, estando las mismas incorporadas al presente procedimiento. Asimismo, se realiza una exposición detallada de los motivos de la instalación que obedece a la seguridad del mismo y de sus instalaciones, puntualizando que en unos meses concretos se empezaron a producir pequeños hurtos sospechando de alguien del propio Centro. Siguiendo las recomendaciones de las Fuerzas y Cuerpos de Seguridad instaló una cámara visible próxima a la zona dónde se estaban produciendo prioritariamente los hechos descritos, obtenido a través de la misma imagen nítida del autor de los hechos que venían aconteciendo en el centro.

Analizados los hechos y argumentaciones por la AEPD, concluye que el sistema de videovigilancia estaba debidamente informado con la amplia presencia de carteles informativos, incluso en la puerta de acceso a las instalaciones del Centro, constando el responsable y la finalidad del tratamiento de los datos obtenidos con el mismo. Por tanto, el deber de información se entiende cumplido con la presencia de estos, quedando a la libre libertad del empleador o dirección del Centro determinar el número máximo o mínimo de cámaras a instalar, la ubicación de estas o la sustitución de las mismas en caso de estimarlo necesario acorde a las necesidades específicas que surgieran o surjan en cada momento.

Arts. afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

Archivo del procedimiento

Anotaciones:

Recientemente el Tribunal Supremo (STS 22 julio 2022) unifica el criterio para la instalación de cámaras “ocultas” considerando las mismas como una medida proporcionada en ciertos supuestos al ser acorde al fin perseguido, que no es otro que el descubrimiento de actos delictivos realizados de manera furtiva evitando como es lógico ser “sorprendidos” en la realización material de estos.

Por tanto, aun no tratándose de una cámara oculta, sino adicionada al sistema de video-vigilancia, la misma se considera una medida proporcionada a la finalidad pretendida, que no era otra que descubrir al presunto autor de hurtos de escasa cuantía que se venían produciendo de manera sistemática; procediendo inclusive a la retirada de la misma una vez que esta cumplió su finalidad (vgr. Sentencia TEDH Estrasburgo 9 de enero 2018 sobre temporalidad de la medida), ciñéndose la misma a un espacio limitado en dónde se habían producido anteriormente sustracciones como las descritas.

**********

- Minimización  de datos – WhatsApp -  

Sancionado con 1.000 euros un empleado por desvelar datos personales de otro en un grupo de WhatsApp

PROCEDIMIENTO

PS/00272/2022

Expone el reclamante que desde el teléfono móvil, la parte reclamada B.B.B difundió a través de WhatsApp, sin su conocimiento ni consentimiento, sus datos personales a un grupo de 31 personas. Los datos difundidos incluyen los nombres, apellidos, nº de DNI, antigüedad, fecha de nacimiento, nº de votos y filiación sindical.

En el caso concreto que se examina, el cumplimiento del principio de minimización requeriría identificar los datos concretos que deben comunicarse atendiendo a la finalidad, así como limitarlos a los estrictamente necesarios para su adecuada comunicación vía WhatsApp. Por lo tanto, en relación con la minimización y necesidad del tratamiento, existen alternativas menos lesivas para la protección de los datos de los trabajadores. Los mensajes de WhatsApp fueron enviados con un objeto relacionado con el ámbito laboral de la empresa en la que la parte reclamada desempeña sus funciones, si bien se contenían datos que, en virtud del mencionado principio de minimización, no debían figurar, pues eran irrelevantes para el propósito para el cual fueron enviados dichos mensajes.

Arts. afectados:

Art. 5.1.c RGPD (Minimización de datos)

Resolución:

1.000 euros

 

 

**********

- Confidencialidad – Comunidad de propietarios -  

2.000 euros por exponer los datos de propietarios en el tablón de anuncios de la Comunidad de libre acceso

PROCEDIMIENTO

PS/00125/2022

Las reclamantes, adjudicatarias de vivienda, reclaman contra la Junta Administradora, según sus Estatutos, constituida como “comunidad civil”, compuesta por todos los arrendatarios de las viviendas del inmueble, y dividida en cuatro bloques, ocho portales. Se acredita que un burofax con fecha 16/12/2021, en el que figuran los datos de las reclamantes, y su domicilio, con el título “A la Junta administradora de los portales 1 al 8 A.A.A.”, solicitando copia de documentación financiera de la Junta, aparece expuesto en tablón de anuncios, acristalado y cerrado, situado en zona aparentemente común, y de tránsito, al lado de las puertas de acceso a las fincas, de acuerdo con las fotos que aportaron, en las que se ve al lado del burofax, una nota con el título “información importante”, con referencia de la Junta administradora a pie de hoja. En la nota se indica, a continuación de la información de que no se pueden hacer convocatorias de reuniones debido a la pandemia…”. En las fotos que aportan las reclamantes se ven dos interiores de portal distintos en los que se aprecia en ambos un tablón cerrado acristalado con la citada nota expuesta, denominados portales 1 y 2 por la reclamante en el archivo.

Como responsable de la infracción se considera a la Junta Administradora, ya que conforme a la definición de responsable del tratamiento del artículo 4.7 del RGPD, se la considera que ha determinado los fines y medios del tratamiento, en concreto la exposición de los datos en los tablones de anuncios de la Comunidad, vulnerándose el principio de reserva de confidencialidad de los datos de las personas que forman parte de la misma, en el tratamiento de los datos de los que es responsable y que debe garantizar.

Arts. afectados:

Art. 5.1.f) RGPD (Confidencialidad)

Resolución:

2.000 euros

 

 

**********

- Legitimación – Redes Sociales -  

3.000 € a un particular por grabar a los alumnos y publicar videos en Facebook sin consentimiento

PROCEDIMIENTO

PS/00566/2021

En el Centro de Educación Infantil y Primaria, dos docentes y varios alumnos se encontraban en el patio en clase de educación física. entre las 12,30 a 13 horas, y una persona desde el exterior recrimina que se hiciera uso de las mascarillas en la clase de educación física por ser perjudicial, increpando al grupo mientras graba y lo dice en voz alta “lo estoy grabando”, moviendo la cámara, y captando por un momento al grupo de alumnos y al profesor que se halla frente a ellos, de espalda a la cámara. Estos hechos e imágenes se contienen en el video número 2 que envió la dirección del CEIP en pruebas, que fue la que además formuló denuncia a la Policial Local indicando que se expusieron en la red social FACEBOOK, y así consta en acta policial.

El Director declaró y consta en el acta, que la grabación fue retirada “pasadas 11 horas de su publicación”. En pruebas de este procedimiento manifestó que hay constancia de la exposición en FACEBOOK, por una captura de pantalla de la noche del día siguiente figurando las 00:28 horas. En el acta policial figura que el Director del CEIP facilita la grabación, y que el autor de la grabación y publicación es la misma persona, siendo reconocido por varios docentes, y “en el mismo FACEBOOK, esa persona recrimina que no se hiciera uso de las mascarillas en la clase de educación física, donde se aprecia su rostro”.

En consecuencia, se considera que el reclamado, tiene una página en FACEBOOK en la que se publicó el video conteniendo las imágenes obtenidas sin consentimiento de sus titulares, menores y docentes-monitor en el patio del colegio. En el video del patio del colegio se pueden identificar y resultan identificables varios alumnos, pese a las mascarillas, aun por un breve espacio de tiempo, es un video y se puede guardar, parar, volver a pasar varias veces, aumentar, tratándose de datos personales de alumnos y de los dos docentes. La toma de imágenes y su exposición en redes sociales va directamente contra el derecho de sus titulares a la disposición de sus datos, exponiendo sus datos-imágenes- de forma no esperada

Arts. afectados:

Art. 6.1 RGPD (Licitud del tratamiento)

Resolución:

3.000 euros

 

 

**********

- Licitud – Sector energético -  

40.000 € a Factor Energía por remitir publicidad personalizada usando datos de consumo de un tercero

PROCEDIMIENTO

PS/00508/2022

La parte reclamante ha recibido un mensaje publicitario por vía postal, procedente de FACTOR ENERGÍA, donde se dirigen a él por su nombre y apellidos, y le hacen una recomendación personalizada en base a las características de su punto de suministro y de sus hábitos de consumo. Considera que la compañía está tratando de forma ilegal sus datos, ya que él no guarda ninguna relación con la misma, por lo que tras solicitar información, le indican que los datos proceden del Sistema de Información de Puntos de Suministro (SIPS), que es la base de datos que las empresas distribuidoras de energía eléctrica y gas natural ponen a disposición de las empresas comercializadoras, a los efectos de poder realizar ofertas en el mercado. No obstante, por parte de la Comisión Nacional de los Mercados y la Competencia se informa que con la aprobación del Real Decreto 1074/2015, se incorporó la prohibición de que las empresas comercializadoras y la CNMC pudieran acceder a cualquier información que directamente identificara al titular del punto de suministro.

Respecto al interés legítimo del Responsable, la realización de tratamiento de datos con fines de “mercadotecnia directa” y “prospección comercial y otras formas de publicidad” constituirían un principio de interés legítimo, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. En este sentido, el Responsable se centra en declarar que este no sería significativo en función del medio utilizado (vía postal) y de la escasa o nula afectación en la esfera jurídica del titular de los datos; sin embargo, el Dictamen 06/2014 del GT29 recoge que "El interés legítimo del responsable del tratamiento, cuando es menor y no muy apremiante, en general, solo anula los intereses y los derechos de los interesados en casos en los que el impacto sobre estos derechos e intereses sea incluso más trivial." Y en el presente caso, no puede calificarse como interés apremiante, cuando se reduce a captar nuevos clientes.

Asimismo, debe tenerse en consideración la expectativa razonable como criterio a tener en cuenta para el tratamiento de datos, y en el presente caso la parte reclamante no ha sido cliente de la parte reclamada y tampoco se ha puesto en contacto con ella para interesarse por los servicios de la mercantil interpelada. Incluso habiendo sido previamente cliente, el criterio es restrictivo para el envío de comunicaciones comerciales (debiendo restringirse a los productos contratados), con mayor razón lo será para el supuesto en que no se haya sido cliente, en que dichos productos y servicios no existen. Sobre los datos tratados, se limita a indicar que no se tratan datos sensibles.  No obstante, esto no significa que los datos que parezcan en sí mismos y por sí mismos inocuos puedan tratarse libremente. Esto, en combinación con la ausencia de una expectativa razonable del interesado en el tratamiento de sus datos, hace que la naturaleza de los datos tratados, de por sí, no pueda justificar el interés legítimo en el tratamiento.
Indica la AEPD que habría bastado la realización de una actividad de buzoneo, sin inclusión de datos del reclamante, máxime cuando la propia entidad aclaró que la indicación de tarifas apropiadas en función del consumo, que se incluyen en la carta, no se basan en datos concretos de la parte reclamante, sino en estimaciones por zonas.

Arts. afectados:

Art. 6.1 RGPD (Legitimación del tratamiento)

Resolución:

40.000 euros

 

 

**********

- Cartelería – Videovigilancia -  

Continúan las sanciones por cartelería informativa de videovigilancia incompleta

PROCEDIMIENTO

PS/00169/2022

Se remite Acta-Denuncia por parte de los Agentes de la Guardia Civil, indicando que durante la inspección sobre la venta de labores de tabaco con recargo en el local de alterne, se verifica que tiene cámaras de grabación y que no posee carteles informativos de zona videovigilada Consta acreditada la presencia de dos carteles de “zona vigilada por cámaras de seguridad” de la empresa de seguridad que instaló el sistema, pero no figuran todos los datos exigidos por el RGPD, conteniendo únicamente el Responsable del tratamiento y su CIF. Ninguno de los carteles recoge toda la información requerida por la normativa, debiendo informar acerca de la identidad del responsable, no solo su nombre, sino también dirección; la posibilidad de ejercitar los derechos reconocidos en los artículos 15 a 22 del RGPD y a través de qué vía, así como dónde podrá obtener el interesado el resto de la información exigida de conformidad con el RGPD.

Arts. afectados:

Art. 13 RGPD (Información al interesado)

Resolución:

400 euros

 

 

**********

- Consentimientos – Comunicaciones comerciales -  

Sancionado por remitir comunicaciones comerciales a una dirección obtenida de fuente pública

PROCEDIMIENTO

PS/00485/2022

Indica el reclamante que recibió un correo electrónico de una persona que decía ser consultor en subvenciones de la entidad FACTORYDEA, informándola de unas subvenciones para destinos turísticos por si estaba interesada en tramitarlas con su empresa. Al desconocer cómo esta empresa había obtenido su email particular y cómo sabía que era propietaria de un apartamento turístico, les remitió un correo electrónico solicitando dicha información, contestando donde la informaban que sus datos habían sido obtenidos del portal de internet de la Consejería de Turismo, Regeneración, Justicia y Administración Local de la Junta de Andalucía en la que viene publicado un lista juntado con todas las viviendas turísticas de la Comunidad con sus datos de identificación. Los hechos expuestos suponen la vulneración del artículo 21 de la LSSI, por parte de la entidad reclamada al enviar un correo electrónico publicitario sin haber sido previamente solicitado o expresamente autorizado por el destinatario con independencia de que los datos personales de la reclamante fueran públicos y hubiesen sido obtenidos de una página oficial de la Junta de Andalucía.

Arts. afectados:

Art. 21 LSSI (Comunicaciones Comerciales)

Resolución:

800 euros (480 por pago voluntario y reconocimiento de responsabilidad)

 

 

 


DP-CONTROL Huelva

Avda. de Andalucia, 2
21004 HUELVA
Tlno: 959 821 386
Tlno: 959 821 387

DP-CONTROL Madrid

C/ Zurbano 45
28010 MADRID
Tlno: 911 841 915
Tlno: 911 853 111

DP-CONTROL Sevilla Centro

Po. de las Delicias, 1
41001 SEVILLA
Tlno: 955 661 075
Fax: 954 560 857