\ RSM20231025 - Resoluciones Relevantes
RESOLUCIONES RELEVANTES 01/09/2023 - 20/10/2023 |
Licitud del tratamiento, Confidencialidad, Información al interesado, Consentimiento, Minimización de datos, Cartelería, Privacidad desde el diseño, Medidas de seguridad... |
“El término “patrones oscuros” hace referencia a los interfaces o implementaciones de experiencia de usuario destinadas a influenciar en el comportamiento y en las decisiones de las personas en su interacción con webs, apps y redes sociales, de forma que tomen decisiones potencialmente perjudiciales para la protección de sus datos personales. De acuerdo con las Directrices del Comité Europeo de Protección de datos, los patrones oscuros o "dark patterns" pueden clasificarse en las siguientes categorías: Sobrecarga (overloading): consiste en presentar demasiadas posibilidades a la persona que tiene que tomar las decisiones, lo que termina generando fatiga sobre el usuario, que acaba compartiendo más información personal de la deseada. Las técnicas más habituales para producir esa fatiga por sobrecarga son mostrar preguntas de forma reiterada, crear laberintos de privacidad y mostrar demasiadas opciones. Ocultación (skipping): consiste en diseñar la interfaz o experiencia de usuario de tal manera que el usuario no piense en algunos aspectos relacionados con la protección de sus datos, o que lo olvide. Emocionar (stirring): se apela a las emociones de los usuarios o se utilizan empujones visuales en forma de efectos para influenciar en las decisiones. Obstaculización (hindering): trata de poner trabas para que el usuario no pueda realizar de forma sencilla ciertas acciones. Esto se realiza a través de técnicas como poner los ajustes de privacidad en zonas a las que no se puede acceder, que sea muy complicado llegar hasta ellas o proporcionando información engañosa sobre los efectos de algunas acciones. Inconsistencia (fickle): la interfaz presenta un diseño inestable e inconsistente que no permite realizar las acciones deseadas por el usuario. Enturbiar (left in the dark): la información o las opciones de configuración de la privacidad se esconden o se presentan de forma poco clara utilizando un lenguaje errático, información contradictoria o ambigua." (ABL) |
- Licitud del tratamiento – Redes Sociales - |
Sancionan a un particular con 10.000 euros por publicar un video en Facebook sin consentimiento del afectado |
El escrito de reclamación es una reproducción de una denuncia presentada por la parte reclamante en la que señala la difusión masiva de video grabado sin consentimiento de la víctima, en redes sociales (Facebook, Instagram, etc) y WhatsApp. La reclamada publicó en su perfil de Facebook un vídeo del reclamante, sin su consentimiento, en el que aparece en evidente estado de embriaguez. Se indica que una persona desconocida se acercó con su vehículo conduciendo y con su móvil desde el asiento del conductor, sin consentimiento del reclamante, grabándole con mala fe en la citada vía pública. En las imágenes se observa al reclamado en malas condiciones físicas por su estado de embriaguez, sujetándose a la papelera. El video ha sido difundido y divulgado por el autor, y más personas desconocidas, en un principio por aplicación WhatsApp tanto a usuarios de manera individual como a grupos de WhatsApp, pero se ha publicado y difundido por redes sociales: Facebook, Instagram, Twitter y YouTube; hasta el punto de que ha tenido una repercusión en todo el territorio nacional. A la luz de la documentación que obra en el expediente administrativo, resulta evidente que la reclamada difundió a través de redes sociales un vídeo de la reclamante, sin base jurídica de las previstas en el artículo 6.1 del RGPD que legitime el tratamiento de su imagen, en el que aparece en una situación delicada, en el que se puede apreciar por completo el rostro del afectado, lo que permite que se identifique de manera clara. |
Procedimiento: |
Artículos afectados: |
Art. 6.1 RGPD (Legitimación del tratamiento) |
Resolución: |
10.000 euros |
Anotaciones: |
Son circunstancias agravantes: - La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento, así como el nivel de los daños y perjuicios que hayan sufrido; la parte reclamada publica el dato personal de la imagen de la parte reclamante, ya que difunde un vídeo de esta en una situación delicada mofándose, permitiendo ello su identificación unívoca. ). - La conducta del infractor refleja una intención clara de denigrar a la parte reclamante, puesto que divulga el vídeo a través de redes sociales cuya difusión es inmediata. |
- Confidencialidad – Correo Electrónico - |
8.000 euros por enviar correo electrónicos sin copia oculta |
En el presente caso, consta una brecha de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una brecha de confidencialidad, al haberse enviado un correo electrónico sin haber ocultado el correo electrónico de la parte reclamante. Los datos personales de la reclamante, obrantes en la base de datos de WALLBOX, fueron indebidamente expuestos a terceros, al enviar un correo electrónico sin ocultar su dirección. Asimismo, la reclamante ha podido acceder a los nombres y apellidos y correos electrónicos de 4 interesados que respondieron el primer mensaje en cuestión utilizando la opción de responder a todos. WALLBOX envió un correo electrónico de forma manual a 65 personas, en respuesta a una petición de información genérica de los interesados, y se incluyó la dirección de correo electrónico de la parte reclamante en el campo CC y no CCO, por lo que ha quedado accesible a esas otras 64 personas. Asimismo, en el momento de producirse la brecha, no se ha acreditado que WALLBOX contara con medidas apropiadas tendentes a evitar el envío de e-mails sin utilizar la funcionalidad CCO ni tampoco se había puesto especial diligencia a la hora de realizar envíos masivos de correos electrónicos. Es por ello que se considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable a WALLBOX, por vulneración del artículo 5.1.f) del RGPD y 32 RGPD. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
Resolución: |
8.000 euros [4.800 euros por pago voluntario y reconocimiento de responsabilidad (5.000 euros);(3.000 euros)] |
|
|
- Confidencialidad – Telecomunicaciones - |
Doble sanción a GLS por no adoptar las medidas adecuadas para la retirada de paquetes: hasta 140.000 euros |
Los reclamantes manifiestan que llevaron a cabo la compra de un terminal móvil en una tienda física del operador de telefonía XFERA MÓVILES, indicando que el terminal sería entregado en su domicilio, pero no lo han recibido, por lo que se pone en contacto con la empresa de transportes, y le indican que su paquete había sido retirado personalmente en su sede, y que dicha persona había facilitado todos sus datos personales para proceder a la retirada. Entienden, por tanto, que se ha llevado a cabo una suplantación de identidad y usurpación de sus datos personales, sin que la reclamada haya realizado una custodia adecuada de sus datos personales. - Al RECLAMANTE 1, a pesar de haber este indicado expresamente la entrega en domicilio, esta se produjo en la sede de la empresa de transportes, y para su recepción solo se requirió que indicasen su nombre y DNI. - Al RECLAMANTE 2, que a pesar de haber solicitado expresamente entrega en domicilio, la entrega se produjo en la sede, recogiéndolo supuestamente un suplantador de la identidad del reclamante, que pudo recogerlo utilizando un documento presuntamente falso, ya que tiene el formato de “Documento de identificación de extranjeros”, cuando su numeración se corresponde con el del Documento Nacional de Identidad del RECLAMANTE 2, y la fotografía inserta en el documento no coincide con el DNI real de dicho reclamante (como tampoco coinciden las direcciones postales de ambos documentos). GLS esgrime que no tiene una relación contractual con los Reclamantes, por lo que no ha podido modificar unas condiciones contractuales de las que no es parte y que, además, desconoce; ni ha modificado el lugar de entrega por sí misma, ya que GLS recibió una solicitud externa y legítima de cambio de lugar de entrega a través de los mecanismos habilitados limitándose ha seguir estrictamente los procedimientos de entrega en relación con los distintos lugares de entrega (en domicilio o en la sede de entidades colaboradoras) y conforme a las distintas modalidades de identificación. Lo más significativo en este caso es que ambos reclamantes solicitaron la entrega en domicilio y pese a ello la empresa de mensajería lo entregó en tienda aportando como justificante únicamente pantallazo de sus sistemas donde se indica que el destinatario se ofreció a ir a la tienda. Por ello, los hechos punibles en este supuesto son que se cambiaron las condiciones del contrato de compra sin contar con legitimación para ello, puesto que es la misma reclamante la que reconoce que no tiene ninguna relación contractual directa con los reclamados. |
Procedimiento: |
Artículos afectados: |
Art. 6 RGPD (Legitimación) |
Resolución: |
140.000 euros en total (70.000 euros cada reclamante) |
|
|
- Información al interesado – Página Web - |
2.000 euros por no tener política de privacidad en la web |
Se denuncia por el reclamante a la entidad RENEDO JOHNSEY por la falta de política de privacidad y de aviso de cookies (así como de Aviso Legal) en su página web. En la parte inferior de la página principal se utiliza un formulario mediante el cual recaba datos personales, supuestamente para el envío de Newsletters, sin que sea necesario aceptar política de privacidad alguna (sin que conste que tenga) y, por tanto, sin que se sepa qué tratamiento se va a dar a los datos recabados. Tras las actuaciones de investigación por parte de la AEPD, se observa que dicha web carece de la debida política de privacidad, siendo en este caso preceptivo incorporarla ya que RENEDO, a través del formulario de contacto y de suscripción, recoge datos de carácter personal (nombre, apellido y dirección de correo electrónico) y, por consiguiente, hace un tratamiento de los mismos. No obstante, con respecto a la cuestión de las cookies, no se ha podido determinar que se instalen cookies no exceptuadas por lo que RENEDO no está obligada a informar sobre estas. |
Procedimiento: |
Artículos afectados: |
Art. 13 RGPD (Información al interesado) |
Resolución: |
2.000 euros (1.200 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
- Confidencialidad – Administración Pública - |
Sancionan al Servicio Canario de Salud por accesos indebidos a historias clínicas |
La reclamante denuncia que se han producido accesos indebidos a su historia clínica, lo cual hace posible la revelación de tales datos de carácter personal, a terceros pese a no contar con el consentimiento del titular de los mismos. La reclamada ha aportado Informe emitido por la Oficina de Seguridad (ODS) del Área de Servicios Electromédicos y de la Información (ASEI) sobre la auditoría elaborada de los accesos realizados por Atención Primaria y Atención Especializada en Hospital General de Fuerteventura en el que se pone de manifiesto que los accesos fueron realizados por diez profesionales, de los cuales dos de ellos accedieron a la historia para interesarse por el estado de salud de la reclamante ya que la identificaron en la lista de urgencia puesto que es profesional del Área de Anestesia y Reanimación (FEA). Si bien la historia clínica es el instrumento para prestar la asistencia sanitaria al paciente, también lo es el hecho de que sólo puede producirse el acceso a la historia clínica por los profesionales que le asisten, no con carácter general, sino con carácter particular realizando la diagnosis o el tratamiento del paciente. En el presente supuesto, pese a las medidas técnicas y organizativas implantadas no ha impedido el acceso a la historia clínica de un paciente, por terceros, lo cual denota la ausencia de medidas que garanticen una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Por ello, se considera que tales hechos suponen una vulneración de la confidencialidad, ya que se han producido unos accesos indebidos a la historia clínica, perdiendo los datos de salud que la misma contiene su confidencialidad, al permitirse el acceso por terceros que no estaban legitimados para ello |
Procedimiento: |
Artículos afectados: |
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
Resolución: |
Apercibimiento (Art. 77 LOPDGDD) |
|
|
- Licitud del tratamiento – Entidades Bancarias - |
70.000 euros a BBVA por no verificar la identidad del titular a la hora de retirar el dinero |
Con fecha 10/12/2020 tiene entrada en la AEPD escrito de la reclamante manifestando que ha sido objeto de suplantación de identidad; tras extraviar su DNI y cursar la correspondiente denuncia, un tercero acudió a una sucursal de su entidad bancaria siéndole entregada la totalidad del dinero que se encontraba depositado en su cuenta, sin su autorización ni consentimiento, considerando que la entidad reclamada no adoptó las medidas correspondientes al no comprobar fehacientemente su identidad. No consta acreditada base de legitimación alguna de las contempladas en el citado precepto para el tratamiento de los datos de la reclamante y cuya personalidad fuera suplantada para vaciar la cuenta de la que era titular, sin que el reclamado desplegara la diligencia que era necesaria para evitar incidencias como la que dio lugar a la reclamación y por ende al procedimiento presente. En el presente caso, se han utilizado los datos de la reclamante para llevar a cabo una operación, disposición del efectivo contenido en una cuenta, por un tercero que no era el titular de la misma sino un suplantador de la identidad de la reclamante y aunque, en términos generales la entidad crediticia tiene legitimación para tratar los datos de la afectada en virtud del contrato suscrito entre ambos, para esta operación concreta no la tenía puesto que quien estaba haciendo uso de los datos era una persona ajena a la relación contractual teniendo que haber verificado la fotografía y la firma del documento que se le presentaba, comprobar que el aspecto del titular de dicho documento y la persona que se tenía enfrente coincidían. La reclamante ha manifestado desconocer quien fue la persona que acudió a la sucursal de su entidad bancaria siéndole entregada la totalidad del dinero que se encontraba depositado en su cuenta, sin su autorización ni consentimiento y sin adoptar las medidas correspondientes al no comprobar fehacientemente su identidad. “En el supuesto que se analiza y de conformidad con la citada norma, la oficina pagadera no realizó una correcta identificación de la persona que dispuso, ya que el reintegro lo llevó a cabo una persona distinta al titular con la documentación robada al cliente”. Además, el propio reclamado ha aportado el justificante de la solicitud de disposición cuya firma no coincide con la que figura en el DNI de la reclamante. no se trata como alega el reclamado en la respuesta a la Propuesta de Resolución de un error invencible en la identificación del portador del DNI de la reclamante sino de una grave falta de negligencia que hubiera sido vencida si se hubieran atendido correctamente los procedimientos y protocolos implantados, cotejando y verificando correctamente tanto la fotografía como la firma del documento que se le presentaba junto al de Disposición en Efectivo, y que no se compadece con lo señalado por el propio reclamado señalando que no se había realizado una correcta identificación de la persona que dispuso. |
Procedimiento: |
Artículos afectados: |
Art. 6.1. RGPD (Legitimación del tratamiento); Art. 32 RGPD (Medidas de seguridad) |
Resolución: |
70.000 euros en total [50.000 euros (Art. 6.1 RGPD); 20.000 euros (Art. 32 RGPD)] |
|
|
- Consentimiento – Cookies - |
2.000 euros por instalar cookies sin consentimiento y no permitir la retirada del consentimiento |
Los motivos en que basaba la reclamación eran que, durante la visita a la web constató que la misma presenta un banner de una plataforma de consentimiento (CMP) proporcionada por OneTrust y que entre otras cookies instaladas se encuentra la cookie IDE del dominio doubleclick.net. De las actuaciones de investigación, se averigua que D. B.B.B. es dueño y propietario de la web digital de noticias. Las irregularidades detectadas respecto de la política de cookies de la página web "cinenuevatribuna.es", en la comprobación realizada por la AEPD fueron las siguientes: a).- Instalación de cookies previo al consentimiento: Al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado que no son técnicas o necesarias. b).- Consentimiento a la instalación de cookies: En el panel de control sobre cookies, si se opta por NO permitir ninguno de los grupos de cookies, sin desplazar el cursor correspondiente desde la posición “desactivado” y se cliquea en la opción “guardar y salir” se comprueba como la web sigue utilizando las mismas cookies detectadas al principio que se utilizan cookies que no son técnicas o necesarias c).- Retirada del consentimiento para el uso de las cookies. Una vez prestado el consentimiento para el uso de las cookies a través de la opción existente en el banner inicial o a través de consentimiento prestado en el panel de control se comprueba que se instalan las cookies detectadas al principio. No obstante, se comprueba que no existe ningún mecanismo o acceso al panel de control permanente que permita después de haber prestado el consentimiento retirarle. |
Procedimiento: |
Artículos afectados: |
Art. 22.2 LSSI (Consentimiento cookies) |
Resolución: |
2.000 euros (1.600 euros por pago voluntario) |
|
- Consentimiento – Cookies - |
12.000 euros a IURIS MARKETING por no adecuar la web a las obligaciones del RGPD |
Se presenta reclamación contra el titular de la web iurisnow.com denunciando el incumplimiento de la normativa de protección de datos. La información que se suministra en la “Política de Privacidad” de la web iruisnow.com, y en relación con lo estipulado en el artículo 13 RGPD citado, el responsable del tratamiento de los datos personales obtenidos a través de la web no ofrece información sobre o por lo menos no detallada sobre los siguientes puntos: Respecto a la política de privacidad: - Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento, tiene una ambigua redacción, o no de la claridad exigible. - No se detallan de forma clara los intereses legítimos de terceros a los que el responsable del tratamiento hace referencia en el banner de información existente en la página principal, siendo necesario acceder de forma individual a las diferentes políticas de privacidad de cada una de las más de 1.000 empresas que aparecen en la “Lista de proveedores”, apareciendo después la información de forma poco clara en el texto de la ventana emergente de cada proveedor. - No se hace referencia a la intención del responsable de transferir datos personales a un tercer país u organización internacional fuera de la Unión Europea, todo ello a pesar, de que una parte de las empresas (proveedores) que aparecen en la “Lista de proveedores”, se encuentran fuera de la UE. Sobre la utilización de patrones oscuros de sobrecarga y de ocultación, en el caso que nos ocupa, el patrón oscuro de sobrecarga (overloading) y de ocultación (skipping), se observa cuando se accede al apartado “Lista de proveedores”, una vez allí, el interesado se encuentra con una lista de unas 130 empresas (proveedores), de las cuales, más de la mitad tienen marcada por defecto la casilla de “Interés legítimo”, lo que obliga, en el caso de querer mostrar la oposición al tratamiento a marcar una a una a lo largo de toda la lista, sin que exista la opción de poder oponerse indicándolo una sola vez o un número de veces que resulte razonable y no genere fatiga en el afectado. Pues bien, la situación es que existe un botón para aceptar todo para confirmar las opciones elegidas, pero no para rechazar todo u oponerte a todo, lo que puede constituir un patrón oscuro de sobrecarga Sobre la Política de Cookies: en la página web en cuestión se han detectado las siguientes irregularidades: - Al entrar en la web por primera vez, sin aceptar cookies ni realizar ninguna acción sobre la página, se ha comprobado que se utilizan cookies que no son técnicas o necesarias: _gid; _ga_; _ga; y _gat_gtag_UA_ - En el panel de control sobre cookies se ha detectado que, los grupos de cookies están divididos en dos opciones, aceptar las cookies por “Consentimiento” que están premarcadas en la opción “no aceptadas” y aceptar las cookies por “Interés Legítimo” que están premarcadas en la opción de “aceptadas”. No obstante, si se desmarcan todas las opciones marcadas “aceptadas” se comprueba que siguen utilizando las mismas cookies detectadas al entrar en la web sin haber prestado el consentimiento. - No existe ninguna información sobre cookies en la segunda capa o enlace que posibilite al usuario redirigirse a la “Política de Cookies” de la web. La información sobre cookies aparece de forma dispersa en cada una de las opciones del panel de control |
Procedimiento: |
Artículos afectados: |
Art. 13 RGPD (Información al interesado); Art. 5.1.a RGPD (lealtad); Art. 22.2 LSSI (Consentimiento de cookies) |
Resolución: |
2.000 euros (Art. 13 RGPD) ; 5.000 euros (Art. 5.1.a RGPD); 5.000 euros (Art. 22.2 LSSI) |
Anotaciones: |
El término “patrones oscuros” hace referencia a los interfaces o implementaciones de experiencia de usuario destinadas a influenciar en el comportamiento y en las decisiones de las personas en su interacción con webs, apps y redes sociales, de forma que tomen decisiones potencialmente perjudiciales para la protección de sus datos personales. De acuerdo con las Directrices del Comité Europeo de Protección de datos, los patrones oscuros o "dark patterns" pueden clasificarse en las siguientes categorías: Sobrecarga (overloading): consiste en presentar demasiadas posibilidades a la persona que tiene que tomar las decisiones, lo que termina generando fatiga sobre el usuario, que acaba compartiendo más información personal de la deseada. Las técnicas más habituales para producir esa fatiga por sobrecarga son mostrar preguntas de forma reiterada, crear laberintos de privacidad y mostrar demasiadas opciones. Ocultación (skipping): consiste en diseñar la interfaz o experiencia de usuario de tal manera que el usuario no piense en algunos aspectos relacionados con la protección de sus datos, o que lo olvide. Emocionar (stirring): se apela a las emociones de los usuarios o se utilizan empujones visuales en forma de efectos para influenciar en las decisiones. Obstaculización (hindering): trata de poner trabas para que el usuario no pueda realizar de forma sencilla ciertas acciones. Esto se realiza a través de técnicas como poner los ajustes de privacidad en zonas a las que no se puede acceder, que sea muy complicado llegar hasta ellas o proporcionando información engañosa sobre los efectos de algunas acciones. Inconsistencia (fickle): la interfaz presenta un diseño inestable e inconsistente que no permite realizar las acciones deseadas por el usuario. Enturbiar (left in the dark): la información o las opciones de configuración de la privacidad se esconden o se presentan de forma poco clara utilizando un lenguaje errático, información contradictoria o ambigua. |
- Minimización de datos – Videovigilancia - |
4.000 euros a un particular por instalar cámaras en el garaje enfocando a zonas comunes sin autorización de la Comunidad de Propietarios |
El reclamante denuncia la captación de espacios de un garaje comunitario sin autorización previa de la Comunidad de Propietarios donde se encuentra el garaje, se sustanció el expediente, en el seno del cual se tramitó el procedimiento que dio lugar a resolución sancionadora contra la parte reclamada, siendo notificada a dicha parte mediante anuncio publicado en BOE de fecha 8 de abril de 2022, la parte reclamada persiste en los hechos sancionados, aportando para acreditar dichos hechos una imagen y una grabación de fecha 22 de agosto de 2022 en las que se aprecia la continuidad de la cámara objeto de la previa resolución sancionadora, sin que se hayan adoptado medidas correctoras. Consta acreditada la presencia de cámara en el interior del vehículo con matrícula XXXXXX orientado hacia zona comunitaria del parking. No consta la presencia de cartel informativo indicando que se trata de zona video-vigilada informando del responsable, finalidad o modo de ejercitar los derechos en el marco del actual RGPD, ni a que se haya comunicado a los órganos rectores de la Comunidad la presencia el dispositivo, ni la causa (motivo) de la instalación del mismo. La instalación de aparatos de video-vigilancia en zonas comunes requiere de la debida autorización de la Junta de propietarios, debiendo plasmarse tal aspecto en el punto del Orden del día correspondiente, salvo en circunstancias excepcionales que deberían en su caso ser expuestas ante esta Agencia para su debida ponderación. Se tiene en cuenta a la hora de motivar la conducta descrita que el denunciado ha sido ampliamente advertido por este organismo, mostrando una actitud reacia a la “corrección” de las irregularidades del sistema de video-vigilancia, así como contar con precedente previo |
Procedimiento: |
Artículos afectados: |
Art. 5.1.c RGPD (Minimización de Datos) |
Resolución: |
4.000 euros |
|
|
- Minimización, conservación y cartelería – Videovigilancia - |
Triple sanción por incumplimiento en materia de videovigilancia |
La parte reclamante manifiesta que la entidad VIGILANCIA MEDIAMBIENTAL es responsable de dos cámaras de videovigilancia instaladas en la fachada de un inmueble que, por su ubicación y orientación, son susceptibles de captar imágenes de la vía pública, sin que conste autorización administrativa para ello y sin que se encuentren debidamente señalizadas mediante los preceptivos carteles informativos de zona videovigilada. De las imágenes aportadas por la propia entidad, se puede apreciar dichas cámaras, ubicadas en la puerta de acceso a la empresa, captan en exceso la vía pública en la que está situada. El cartel que indica que la zona esta videovigilada aportado por la reclamada no cumple con todos los requisitos que al efecto establece el artículo 22 de la LOPDGDD, al ser incompleta e insuficiente la información facilitada, ya que no indica la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679. Asimismo, consta, según manifestación de la propia entidad, que las imágenes grabadas por las cámaras se conservan durante el periodo de un año, amparados según indican en la Ley de Seguridad Privada. No obstante, dicha Ley especifica respecto de los servicios de videovigilancias que la monitorización, grabación, tratamiento y registro de imágenes y sonidos por parte de los sistemas de videovigilancia estará sometida a lo previsto en la normativa en materia de protección de datos de carácter personal, y especialmente a los principios de proporcionalidad, idoneidad e intervención mínima, remitiéndose por lo tanto a lo dispuesto en la LOPDGDD, que limita la conservación a un mes |
Procedimiento: |
Artículos afectados: |
Art. 5.1.c RGPD (Minimización de Datos); Art. 5.1.e RGPD (Limitación de la conservación); Art. 13 RGPD (Información al interesado) |
Resolución: |
1.500 euros en total (500 euros cada infracción) |
|
|
- Información y derecho de acceso – Sector hotelero - |
20.000 euros a un hotel por escanear el DNI de un cliente y no informarle del tratamiento de datos |
La parte reclamante denuncia que no se le informó sobre el tratamiento realizado al escanear su DNI. YUDAYA indica que es escaneo del documento de identidad se realiza para obtener automáticamente datos necesarios para el cumplimiento de una obligación legal establecida en la Ley Orgánica 4/2015 y la Orden INT 1922/2003, cuyo objeto es recabar datos de los viajeros para un posible uso por parte de las Fuerzas y Cuerpos de Seguridad del Estado. YUDAYA aporta una fotografía en la que se observa que, en la recepción del hotel, está visible, y en los idiomas español, inglés y alemán, la información sobre los tratamientos de datos de recogida de datos personales de los viajeros y de videovigilancia. En el formulario enviado a la parte reclamante en enero de 2022, falta la información de segunda capa. YUDAYA indica que esta información de segunda capa no se facilitó a la parte reclamante en su debido momento debido a que, a la llegada de la parte reclamante, el personal de recepción no estaba trabajando y le recibió el personal de seguridad, además de que, en el formulario que le enviaron posteriormente no aparecía la información de segunda capa debido a un problema en el sistema informático. En el presente caso, no consta que YUDAYA haya facilitado a la parte reclamante la información a la que obliga el artículo 13 del RGPD en el momento en el que se obtuvieron sus datos. El 2 de enero de 2022 la parte reclamante se registró en el hotel HD Acuario Lifestyle, sin que por parte del personal del hotel que le atendió pusiera a su disposición la información a que está obligada YUDAYA como responsable del tratamiento de los datos de sus clientes. El hecho de que el registro del hotel se hiciera fuera del horario en el que se presta este servicio no es obstáculo para que la parte reclamante hubiera sido debidamente informada del tratamiento en cuestión. El incumplimiento a la obligación de información a la parte reclamante dispuesta en el artículo 13 del RGPD no puede atribuirse a la necesidad de cumplir con la obligación regulada en la Orden INT 1922/2003, cuyo artículo cuatro establece que la información contenida en las hojas-registro deberá ser comunicado dentro de las veinticuatro horas siguientes al comienzo del alojamiento de cada viajero. En el presente caso, consta en el expediente que, con fecha 10 de enero de 2022, la parte reclamante ejerció el derecho de acceso a sus datos personales a través de un correo electrónico enviado a “Acuario hdhotels” (nombre del establecimiento propiedad de YUDAYA), concretamente, solicitando la información relativa al tratamiento al escaneo de su documento de identidad. El día 11 de enero de 2022, la parte reclamante intercambia varios correos con empleados del alojamiento de YUDAYA en los que insiste en que se atienda el ejercicio del derecho de acceso a la información en materia de protección de datos dela digitalización del escaneo de su documento de identidad; se dice en uno de los correos (traducción no oficial) : “Debería haber sido informado de cómo se tratan nuestros datos personales y quién lo hace”, sin que su petición sea atendida ya que, si bien es enviado por el personal del hotel el documento de registro con la información básica en materia de protección de datos, este documento carece de su reverso, donde debía constar la información de forma ampliada |
Procedimiento: |
Artículos afectados: |
Art. 13 RGPD (Información al interesado); Art. 15 RGPD (Derecho de acceso) |
Resolución: |
20.000 euros [10.000 euros cada infracción (12.000 euros por pago voluntario y reconocimiento de responsabilidad)] |
|
|
- Confidencialidad – Correo electrónico - |
15.000 euros a ILUNION SEGURIDAD por mandar un correo a varios trabajadores sin copia oculta |
La reclamante manifiesta que se enviaron comunicaciones laborales a los teléfonos particulares sin haber prestado su consentimiento ni contar con la participación de la representación de los trabajadores, y que se han revelado las direcciones de correo electrónico personales de los trabajadores al enviar correos electrónicos sin utilizar la opción de envío con copia oculta a todos los destinatarios del correo electrónico. Adjunta aporta copia de dos correos electrónicos remitidos a varios destinatarios sin utilizar la opción de copia oculta, así como copia de los mensajes instantáneos de la aplicación WhatsApp recibidos por la parte reclamante y otros trabajadores y remitidos por la empresa en la que prestan sus servicios. Finalmente, la reclamante alega que en ningún momento ha dado su consentimiento para ser incluido en grupos de comunicación de mensajería instantánea de la aplicación WhatsApp creados por la coordinación del servicio del aeropuerto de Fuerteventura, ni para recibir correos electrónicos de carácter laboral sin que sea utilizada la opción de copia oculta de los remitentes habiéndose dado a conocer al resto de trabajadores su dirección de correo electrónico sin su consentimiento. En este sentido, en relación a la infracción que se examina – quebrantamiento del deber de confidencialidad-, la AEPD analiza en primer lugar analizar si la creación del grupo de WhatsApp con los números de teléfono personales de 5 trabajadores para cuestiones relacionadas con la formación de estos puede justificarse en alguna de las examinadas bases de legitimación. A este respecto, manifiesta Ilunion SEGURIDAD que los trabajadores se muestran conformes con los canales de comunicación establecidos, participando en ellos, y que los nombres de las personas que firman la reclamación no coinciden con los nombres de los integrantes del chat, de ahí que en este caso proceda traer a colación la doctrina de la Audiencia Nacional sentada, ente otras, en las SAN de 13 de junio de 2017 y SAN de 26 de junio de 2020, que considera necesario para poder apreciar la existencia de una infracción por falta de consentimiento que sea el propio afectado el que niegue su existencia, al ser el consentimiento personal e individual. Por tanto, no procede la imposición de una sanción por los hechos narrados por cuanto no se ha puesto de manifiesto por ninguno de los integrantes del chat la ausencia de consentimiento. Contrariamente sí debe declararse incumplido el principio que consagra el art. 5.1.f) del RGPD con la remisión por la parte reclamada de dos correos electrónicos sin utilizar la opción de copia oculta revelando la dirección de correo del reclamante al resto de destinatarios sin su consentimiento y sin que resulte aplicable otra base de legitimación del art. 6 RGPD, pues no puede concluirse que la Ilunion SEGURIDAD contara con una base de legitimación que amparara la revelación de la dirección de correo personal del reclamante |
Procedimiento: |
Artículos afectados: |
Art. 5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
Resolución: |
15.000 euros [10.000 euros (Art. 5.1.f. RGPD); 5.000 euros (Art. 32 RGPD)] |
Anotaciones: |
En relación con las bases de legitimación para compartir información personal de los trabajadores, indica la AEPD: - En cuanto al consentimiento, puede afirmarse que cuando el trabajador se comunica voluntariamente con el empleador a través de su teléfono móvil de uso personal o su dirección electrónica personal existe un “acto afirmativo claro” de su consentimiento a recibir a través de tales medios comunicaciones sobre asuntos laborales. Ahora bien, cuando el empleador utiliza los datos de contacto personales de las personas trabajadoras y los comparte con otros trabajadores, ya sea por correo electrónico o a través de la mensajería instantánea, como medio “necesario” para el desenvolvimiento de la relación contractual existente entre empleados y empresa, el tratamiento de estos datos no puede basarse en el consentimiento, por cuanto el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. - Respecto a la relación contractual, Cuando compartir información sobre asuntos del trabajo resulte “necesaria” para la ejecución del contrato de trabajo suscrito por el trabajador y el empleador utilice medios corporativos para ello, el tratamiento de la información personal puede quedar amparado en la base de legitimación contemplada en el artículo 6.1.b) del RGPD. Si bien, en estos casos, resultará indispensable que la información que se comparta sea adecuada, pertinente y limitada a lo necesario en relación con los fines que se persiguen, como exige el principio de minimización de datos, así como el establecimiento de medidas técnicas y organizativas adecuadas para evitar accesos no autorizados a la información personal que se comparte, a fin de no vulnerar el principio de integridad y confidencialidad recogido en el artículo 5.1.f) del RGPD. Ahora bien, el trabajador tiene derecho a mantener el control sobre los datos personales que le atañen, por tanto, cuando los datos de contacto utilizados por el empleador no sean corporativos sino de uso personal de los trabajadores, el tratamiento de tales datos incluida su revelación a otros compañeros no podrá justificarse en la base de legitimación contemplada en el artículo 6.1.b) del RGPD. el tratamiento del dato del número de teléfono personal del trabajador o de su dirección de correo particular con la finalidad de mantener la relación laboral no puede considerarse “necesario” para la ejecución del contrato, como requiere el artículo 6.1.b) del RGPD por cuanto el empresario siempre puede proporcionar estos medios necesarios a los trabajadores. - Por último, en relación al interés legítimo, no cabría apreciarlo como base de legitimación cuando no concurra el triple juicio de proporcionalidad, al que habría que añadir el criterio de la jurisprudencia sobre el tratamiento del dato del número de teléfono personal del trabajador o de su dirección de correo particular con la finalidad de mantener la relación laboral, consistente en que cuando los mismos resultan esenciales para el desenvolvimiento del contrato, tanto uno como otro deben ser proporcionados por la empresa al trabajador para no quebrar con la necesaria ajenidad de los medios que caracteriza el contrato de trabajo. La exigencia de la aportación de estos medios por el trabajador podría suponer un manifiesto abuso de derecho empresarial (SAN de 6 de febrero de 2019.) |
- Información al interesado – Página web - |
Doble sanción por no facilitar información en protección de datos y remitir a la web, que tampoco estaba correctamente adecuada |
La reclamación versa sobre la falta de información prestada por la entidad reclamada respecto al tratamiento de los datos personales de la reclamante cuando ésta llevo un TV al servicio técnico de la entidad para su reparación y sus datos personales fueron recogidos en el “Parte de Trabajo”. La reclamante indica en su escrito de reclamación que cuando firmó el “parte de trabajo” donde la incluyeron sus datos personales, no fue informada en ningún momento sobre el tratamiento de los datos personales obtenidos de ella. La reclamada HSSERVICE manifiesta que la cliente firmó el parte de trabajo pero no firmó el anexo protección de datos y adjunta una copia de un documento titulado “Política de Privacidad y Condiciones de Venta” donde se detalla la identidad y los datos de contacto del responsable; los fines del tratamiento a que se destinan los datos personales o los derechos del cliente respecto del tratamiento de sus datos personales, pero no existe ningún campo donde el cliente pueda plasmar que ha leído y aceptado esta información. Tampoco consta en ningún lugar, mediante su firma o aceptación, que la reclamante fuera informada de estos aspectos. En la comprobación realizada por la Agencia de la página web en cuestión se ha detectado que, en la misma se pueden obtener datos personales de los clientes o usuarios de la misma pero no existe en ningún lugar información sobre el tratamiento que se hará sobre los datos personales obtenidos. Tampoco existe ningún enlace que redirija al usuario a la “Política de Privacidad” o “Aviso Legal” de la página web. Por tanto, la falta de información con arreglo a la normativa vigente, sobre el tratamiento de los datos personales cuando se obtienen de los usuarios que acceden al servicio técnico de la entidad reclamada y sus datos personales son recogidos en la “Hoja de Trabajo”; así como la falta de información sobre el tratamiento de los datos personales cuando se obtienen de los usuarios que acceden a la página web de su titularidad https://hsservice.es supone la vulneración del artículo 13 del RGPD en ambas ocasiones. |
Procedimiento: |
Artículos afectados: |
Art. 13 RGPD (Información al interesado) |
Resolución: |
4.000 euros [2.000 euros por cada infracción (2.400 euros por pago voluntario y reconocimiento de responsabilidad)] |
|
|
- Legitimación y cartelería – Videovigilancia - |
La AEPD deja sin efecto la una sanción de 5.300 euros por tratarse de hechos falsos |
Consta en el procedimiento objeto de recurso que en la vivienda en la que residen tanto la parte reclamante como la parte reclamada, se ha instalado una cámara de vigilancia en el techo, que aparentemente graba video y audio, que se mueve en 360 grados según detecte un movimiento; así como la inexistencia de cartel informativo avisando de la existencia de videocámaras. El denunciado recurrió la resolución, argumentando que dichos hechos no son ciertos. Las fotografías que aporta el denunciante no se corresponden con la casa de la Sra. A.A.A. El Sr. B.B.B. no aportó imágenes (videos o fotografías) que pudieran haber sido captadas por esa cámara que dice haber colocado A.A.A., por cuanto es imposible ya que en casa de A.A.A. no se instaló cámara alguna. Los hechos que denunció el Sr. B.B.B. son pura invención. Por el contrario, se indica que el reclamante original, el Sr. B.B.B. ha estado meses hostigando a la denunciada, con denuncias falsas, aportando como prueba sentencia, informe del Ayuntamiento, y Decreto del Ayuntamiento. En caso de haber sido cierta la existencia de una cámara de videovigilancia en el pasillo de la casa que violaba la intimidad y perturbaba la tranquilidad de D. B.B.B., éste lo habría manifestado a la Policía Local y a la Policía Nacional puesto que ambas fuerzas del orden acudieron a la vivienda en numerosas ocasiones, y los documentos aportados por el denunciado no mencionan la supuesta cámara de videovigilancia. Tras haber aportado fotografías de su domicilio, la AEPD observa que no se corresponden con las enviadas con la reclamación por la parte reclamante, y que sirvieron de base para iniciar un procedimiento sancionador, concluyéndose, por tanto, que, si bien pudiera haberse considerado en un primer momento que había indicios suficientes de un incumplimiento de la normativa en materia de protección de datos, tales indicios han resultado no ser concluyentes al no coincidir las imágenes aportadas por una y otra parte. |
Procedimiento: |
Artículos afectados: |
Art. 6.1 (Legitimación del tratamiento); Art. 13 (Información al interesado) |
Resolución: |
Estimación del recurso, y dejar sin efecto la multa |
|
|
|
- Confidencialidad – Comunidad de Propietarios - |
Sancionan a una cooperativa de viviendas por exponer copia de la convocatoria con nombre y apellidos de deudores en varios ascensores |
En el presente caso, varios socios reclaman contra la cooperativa de viviendas ZARA ARCO a la que pertenecen por exponer, en fecha 14/10/21, en los ascensores, copia de una convocatoria a Junta General Extraordinaria, donde figuran los nombres, apellidos, piso y cuantía adeudada por determinados cooperativistas. Dicha copia ha sido expuesta en los ascensores de hasta 7 viviendas sitas en Zaragoza. Asimismo, alega que dicho documento se remitió a todos los cooperativistas por correo electrónico sin utilizar la opción CCO, lo que ha originado que se conozcan los correos electrónicos de todos los socios y que algunos se dirijan comunicaciones. - Respecto de la remisión de correos desde la cooperativa a un grupo de socios sin utilizar copia oculta. Indica la cooperativa que las personas que aparecen en ese grupo de Zara Arco pertenecen a una cooperativa de viviendas creada en el año 2008. Que las viviendas fueron entregadas en diciembre de 2012 y en ese mismo año se constituyeron también como Comunidad de Vecinos. Como desde el principio ya advirtieron los socios que había existido una mala gestión de la cooperativa y debido a la multitud de reuniones que tuvieron que realizar para hacer frente a numerosos problemas y con el ánimo de actuar en todo momento con máxima transparencia y colaboración, se valoró crear un grupo para que todos pudiesen intervenir, opinar, aportar soluciones y, en definitiva, trabajar en equipo. Apunta la reclamada que finalmente, y con esa finalidad se creó el grupo de Google (correo Gmail) y que todos los correos facilitados por los vecinos que querían participar en el grupo se trasladaron de manera absolutamente voluntaria y quien quiso formar parte del grupo, facilitó sus datos autorizando expresamente a formar parte del mismo. además, los correos se han enviado visibles para todos desde su creación en 2013 y nunca desde entonces ha habido queja ni se ha solicitado por ninguna de estas personas que se ocultase sus nombres. Los que no quisieron unirse no se unieron, pero los que sí lo hicieron, fueron conscientes del tratamiento de sus datos, sin que desde entonces, más de 9 años, haya existido queja alguna. Entiende la AEPD, a raíz de la prueba practicada, que consta acreditado que los reclamantes habían previamente consentido en formar parte del Grupo y, por tanto, el tratamiento realizado de sus direcciones de correo. - Respecto de la publicación de los acuerdos en tablón de anuncios y/o ascensores. Indica ZARA ARCO que esta es la práctica habitual de la misma, que desde siempre y precisamente por hacer primar la transparencia y en una actitud garantista, han venido colgando las convocatorias y las actas de las juntas de este modo. Que nunca los denunciantes han mostrado oposición a ello, nunca. Insiste en que siempre se ha considerado el ascensor como tablón de anuncios de la cooperativa y comunidad, desde su constitución. Y que prueba de ello son las actas que se acompañan, donde en todas se hace constar que la notificación de la convocatoria lo es mediante los ascensores, y posteriormente se cuelgan las actas. No obstante, la AEPD considera que la publicación en el interior de los ascensores de varias viviendas es una zona de acceso público por donde puede transitar cualquier persona, sea o no socio cooperativista, lo que constituye un acceso no autorizado a dichos datos por terceros. Que se haya acordado que el ascensor sea el lugar de comunicación que han decidido utilizar los vecinos y/o los socios cooperativistas, no significa que dichas comunicaciones se realicen vulnerando la normativa en materia de protección de datos, especialmente la obligación de preservar la confidencialidad de los mismos, sobre todo frente a terceros ajenos. Es decir, podrá ser un canal de comunicación, pero sin contener datos personales más allá de lo que permita la legislación aplicable. |
Procedimiento: |
Artículos afectados: |
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
Resolución: |
3.000 euros en total [2.000 euros (Art. 5.1.f RGPD); 1.000 euros (Art. 32 RGPD)] (1.800 euros por pago voluntario y reconocimiento de responsabilidad) |
|
|
- Licitud, Privacidad desde el diseño y Medidas de seguridad – Entidades Bancarias - |
Sanción millonaria a BBVA por no adoptar las medidas de seguridad adecuadas para evitar la contratación fraudulenta de productos bancarios |
La reclamante manifiesta le robaron el bolso (con móvil, tarjeta, y otros enseres personales), por lo que se puso en contacto con la entidad BBVA solicitando el bloqueo inmediato de todos los productos bancarios contratados. No obstante, BBVA hace caso omiso y permite que, con suplantación de identidad, terceros accedan a sus productos bancarios, operen con ellos (vaciando cuentas, cargando facturas), contraten nuevos productos, realicen transferencias internacionales desde dichas cuentas, etc. Por otra parte, estos movimientos no consentidos generan una deuda que no le corresponde, y que BBVA procede a reclamar a través de empresas de recobro. Tras la investigación, se detectan múltiples incumplimientos - Contratación no autorizada de productos. Con motivo del robo del móvil del reclamante, así como su monedero con la tarjeta de crédito, DNI y demás documentación personal, los defraudadores tuvieron la contratar diversos productos desde los cuales pudieron operar, efectuando movimientos, realizando transferencias y, en general, sustrayendo los activos dinerarios de que era titular la parte reclamante, de manera que BBVA llevó a cabo tratamientos de datos (contratación de productos) sin legitimación alguna por parte de la reclamante. - Incorporación ilícita de datos en los sistemas de información crediticia. A raíz de las acciones anteriormente descritas se derivaron algunas deudas que BBVA le reclamó a través de empresas de recobros, procediendo a incluir sus datos personales en sistemas de información crediticia. Consta, sin embargo, que el reclamante interpuso una demanda solicitando la declaración judicial de cierre y cancelación de cuentas y tarjetas bancarias y de exoneración de cualquier deuda por cualquier concepto originado en las mismas, al no ser atribuibles a la parte reclamante, procedimiento aun en ciernes. Por ello, no se trata de una deuda cierta vencida y exigible - Falta de medidas de seguridad en relación con los sistemas de información crediticia de datos personales: Si bien BBVA hace referencia a documentos de diverso contenido con la que se pretende justificar la existencia de medidas de seguridad, en ningún momento precisa en qué punto estas medidas de seguridad están relacionadas con el presente procedimiento, y garantizan un nivel de seguridad adecuado al riesgo de extravío o sustracción de documentación identificativa o de dispositivos que permitieran el acceso a la banca online o a distancia. - Incumplimiento del principio de privacidad desde el diseño: Se analizó el procedimiento que BBVA tiene establecido para las contrataciones de productos financieros y las garantías que en esos procedimientos se establecen para evitar supuestos como el producido. Examinado el procedimiento, se observa que está totalmente desactualizado, no adaptado al RGPD y no enfocado en los riesgos para los derechos y libertades de los clientes, ni para su protección, de manera que se infringe el principio de privacidad desde el diseño y la integración de la protección de datos en el sistema de detección del fraude de la organización, pues no aborda el riesgo de pérdida o sustracción de documentación identificativa, o los métodos o dispositivos para el acceso a su banca online, que permiten la contratación a distancia de productos financieros. - Falta de medidas de seguridad en relación con los procedimientos de contratación de productos financieros: A raíz de los hechos, existen evidencias de que BBVA no disponía de un procedimiento de las medidas de seguridad para la protección de los datos personales apropiadas en función de los posibles riesgos estimados, que se pone de manifiesto en la documentación remitida por la entidad financiera, la cual no se ajustan ni al RGPD ni a su enfoque de riesgos ni a la protección de los datos personales, estando claramente desactualizadas, resultando el procedimiento insuficiente. |
Procedimiento: |
Artículos afectados: |
Art. 6.1 RGPD (Licitud del tratamiento); Art. 25 RGPD (Privacidad desde el diseño); Art. 32 RGPD (Medidas de seguridad) |
Resolución: |
1.640.000 euros [500.000 euros (Art. 25 RGPD); 500.000 euros (Art. 32 RGPD); 70.000 euros (Art. 6.1 RGPD); 70.000 euros (Art. 6.1 RGPD); 500.000 euros (Art. 32 RGPD)] |
|
|