|
Noticias
|
|
RESOLUCIONES RELEVANTES 01/06/2024 - 30/06/2024
|
|
Confidencialidad, Brechas de
Seguridad, Encargos de Tratamiento, Transferencias internacionales,
Minimización de datos, Información al interesado, Ejercicio de derechos,
Incumplimiento de resoluciones, Exactitud de los datos, Videovigilancia,
Cartelería, Oposición al tratamiento...
|
|
“Google
Analytics almacena y lee cookies en el navegador del usuario para evaluar la
sesión del usuario y otra información sobre la consulta.
Cuando
el reclamante visita un sitio web que hace uso de Google Analytics se
transmiten, entre otros datos, la IP del usuario que tiene la consideración
de datos personales pues no pierde el carácter personal simplemente porque
los medios de identificación residan en terceras entidades. Además, en estos
casos la dirección IP puede combinarse con otros elementos que permitan la
reidentificación (...)”
|
|
|
|
-
Confidencialidad – Servicios de mensajería -
|
|
Multa a
SEUR de 55.000 € por dejar un aviso de entrega en el exterior del buzón
|
|
La
reclamante manifiesta que SEUR SA tenía encargada la recogida de un producto
de Amazon, en fecha 29 de agosto. No obstante, Amazon indicó erróneamente la
dirección toda vez que en ese momento la reclamante se encontraba en otra
localidad, por lo que solicitó a Amazon que modificara la dirección. En fecha
6 de septiembre, tuvo conocimiento a través de unos familiares que pasaron
por la vivienda, de que un repartidor de la empresa reclamada había dejado un
aviso en el exterior del buzón de su vivienda en dirección que era errónea, a
la vista de cualquier vecino o visitante del inmueble, en el que aparecían
datos personales suyos, en concreto, su nombre y apellidos, dirección postal,
así como su número de teléfono.
Durante la
tramitación del procedimiento, la entidad SEUR fue absorbida por GEOPOST
ESPAÑA, de forma que la misma adquiere por sucesión universal todos los
derechos y obligaciones de SEUR SA, siguiendo la AEPD el procedimiento contra
GEOPOST. Al requerir información a GEOPOST, ésta comprobó que el día 30 de
agosto un repartidor de SEUR acudió al domicilio de la reclamante para
efectuar una recogida. Dado que la reclamante se encontraba ausente en el
momento de la recogida, el repartidor dejó nota de aviso ausente pegada en el
exterior del buzón de la reclamante.
De los
hechos descritos, se desprende que SEUR expuso la información y datos de
carácter personal del reclamante sin base jurídica legitimadora, al dejar un
repartidor una nota de aviso ausente pegada en el exterior del buzón de la
reclamante (en cuyo rótulo solo se indicaba el número y letra del piso), en
la que aparecían sus datos personales: nombre, apellidos, dirección postal,
así como su número de teléfono. Incluso en el supuesto planteado por GEOPOST
de que la nota pudiera haber sido adherida por un tercero en el buzón de la
reclamante, supondría la existencia de responsabilidad atribuible a GEOPOST,
ya que el hecho de que un tercero no autorizado accediese a los datos
personales de la parte reclamante al hallarse en posesión de la nota adhesiva
o pegatina, supone en sí mismo una violación de la confidencialidad de los
datos de la reclamante, debido a la falta de diligencia en la custodia de la
nota adhesiva. En cualquier caso, no existe motivo que justifique que la nota
adhesiva con los datos personales de la parte reclamante que llevaba el
repartidor de GEOPOST pudiera estar en manos de un tercero
|
|
Procedimiento:
|
|
PS-00670-2022
|
|
Artículos
afectados:
|
|
Art.
5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)
|
|
Resolución:
|
|
55.000
€ en total [45.000 € (Art. 5.1.f RGPD); 10.000 € (Art. 32 RGPD)]
|
|
Anotaciones:
|
|
La
sanción ha sido impuesta a GEOPOST ESPAÑA, tras haber absorbido el 3 de
agosto de 2023 a SEUR SA, de modo que la misma adquiere por sucesión
universal todos los derechos y obligaciones de SEUR SA
|
|
|
|
-
Confidencialidad – Administración Pública -
|
|
La AEPD
apercibe a un Ayuntamiento por publicar en Redes Sociales el resultado del
sorteo para ser miembro de las mesas electorales
|
|
Se
denuncia por parte de FACUA Castilla y León que el Ayuntamiento de Renedo de
Esgueva publicó en su cuenta oficial de Facebook, el 28 de junio de 2023, el
resultado del sorteo para ser miembro de las mesas electorales. Los listados
publicados incluyen nombres y dos apellidos de cada miembro (vocales y
suplentes) y nivel de estudios. El AYUNTAMIENTO por su parte aduce
alegaciones al acuerdo de inicio en el que, en síntesis, manifestando que ha
procedido a la retirada inmediata de las publicaciones en la cuenta oficial
de Facebook de este Ayuntamiento que han sido objeto de denuncia,
argumentando que la publicación se realizó ante la insistencia y numerosas
peticiones de vecinos dado que muchos de ellos se encontraban en periodo
vacacional dificultando su notificación.
La AEPD
concluye que el carácter público del sorteo para la designación de los
miembros de Mesa previsto en el artículo 26.2 de la LOREG no determina la
necesidad de la publicidad de los datos resultado de los mismos,
especialmente teniendo en cuenta que no son definitivos, dado que podrían
estar sometidos a excusa. La comunicación de la designación como miembro de
Mesa electoral debe ser objeto de notificación, la cual se realizará conforme
al modelo oficial correspondiente. En cualquier caso, toda medida adoptada
para proporcionar información acerca del resultado del sorteo a los
ciudadanos designados, con objeto de facilitar su participación como miembros
de las mesas electorales, deberá respetar el principio de confidencialidad
previsto en el artículo 5.1.f) del RGPD. Y si bien valora positivamente las
medidas adoptadas por el AYUNTAMIENTO en orden a
procurar
el debido cumplimiento por parte de sus empleados, así como la retirada de la
publicación del anuncio, estas medidas adoptadas con posterioridad no
desvirtúan la responsabilidad del Ayuntamiento en la comisión de los hechos
del procedimiento.
|
|
Procedimiento:
|
|
PS-00372-2023
|
|
Artículos
afectados:
|
|
Art. 5.1.f
RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)
|
|
Resolución:
|
|
Apercibimiento
(Art. 77 LOPDGDD)
|
|
|
|
|
|
|
|
- Brecha
de seguridad – Sector hotelero -
|
|
7.000 €
a un hotel por no adoptar medidas de seguridad adecuadas y no comunicar a la
AEPD una brecha de seguridad
|
|
La
reclamante manifiesta haber realizado una reserva en el alojamiento bilbaíno
"Irala, by Pillow", a través de booking.com. Señala que unos días
antes del viaje recibió un mensaje de WhatsApp en el que una persona que se
identificaba como directora del hotel se dirigía a ella por su nombre y
apellidos y le pedía la confirmación de la reserva, facilitándole un enlace
fraudulento para que introdujera los datos de su tarjeta, cosa que no hizo.
Posteriormente contactó con el hotel para confirmar el fraude y que le
comunicaron que ya eran conocedores de otros casos similares.
Por su
parte, PILLOW HOTELS indica que, aunque se desconoce cuál ha podido ser el
origen de la brecha, reconoce que el origen que motivó el mensaje dirigido a
la reclamante pudo estar ocasionado por una actuación negligente por su parte
“se me ocurrió cambiar la clave del mail de recepción y dejó de pasar, así
que habrá sido algún link fraudulento que algún recepcionista abrió”,
ocasionando una vulneración de sus cuentas. A raíz del incidente, accedieron
al mail de la empresa; y por parte de la plataforma Booking.com se ha
señalado que en marzo de 2023 la cuenta del alojamiento se encontraba
comprometida por motivos de seguridad. El número de personas afectadas por
esta primera brecha asciende a un total de 24 personas, aportándose documento
conteniendo el listado de clientes afectados que tenían reserva en esas
fechas, entre los que se encuentra la parte reclamante; si bien en el mes de
agosto de 2023, se produce una segunda brecha de seguridad de características
similares, de la cual tampoco ha sido posible determinar su origen. De este
segundo incidente de seguridad, aunque no se ha facilitado el número de
clientes afectados, por la información aportada se desprende que se trataría
de un número bastante elevado, “todas las rsvas (decenas por no decir más)”.
De los
hechos expuestos, se deduce la quiebra de la confidencialidad de la
información, toda vez que un tercero ajeno tuvo acceso a datos de los
clientes de la entidad. Asimismo, aun cuando se adoptaron medidas para
subsanar esta primera brecha; sin embargo, no consta acreditado que se
hubieran adoptado éstas, pues las enumeradas ya figuraban previamente al
incidente de la brecha y por el resultado acontecido no fueron ni efectivas
no suficientes. Por último, se observa en cuanto al registro de brechas que solo
consta el de la primera de ellas, no así la segunda y en la descripción del
incidente se indica, refiriéndose a la parte reclamante, “eran conocedores
de otros casos similares”, sin que conste que hayan notificado a la AEPD
esa segunda brecha
|
|
Procedimiento:
|
|
PS-00133-2024
|
|
Artículos
afectados:
|
|
Art.
5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad); Art. 33
(Notificación a la Autoridad de Control)
|
|
Resolución:
|
|
7.000 €
en total [3.000 € (Art. 5.1.f RGPD); 2.000 € (Art. 32 RGPD); 2.000 € (Art. 33
RGPD); 4.600 € por pago voluntario y reconocimiento de responsabilidad]
|
|
Anotaciones:
|
|
Consultando
el registro de brechas que dispone la División de Innovación Tecnológica de
la AEPD, no se ha localizado ninguna notificación de brecha específica de
Booking.com, si bien constan antecedentes en esas fechas de casos similares
donde establecimientos hoteleros se han visto afectados por la vulneración de
su cuenta en la plataforma debido a ataques de phishing.
|
|
|
|
-
Medidas de seguridad – Encargo de tratamiento -
|
|
La AEPD
archiva un procedimiento frente a GLS por haber adoptado las medidas de
seguridad adecuadas respecto de la entrega de un paquete
|
|
La
reclamante manifiesta que era destinatario de un paquete cuya gestión de
entrega fue realizada por GLS y señala que en fecha 23 de agosto de 2023
recibió una llamada del repartidor encargado de la entrega, al que señaló
expresamente que no quería que se depositara el paquete, con sus datos, en el
domicilio de un vecino, sino en un punto de entrega. El repartidor aceptó
dicha solicitud; si bien, posteriormente se notificó a la reclamante que el
paquete había sido entregado a un vecino, pese a su oposición expresa al
respecto. Aporta grabación de conversación mantenida con el repartidor del
paquete del que era destinatario, en la que manifiesta su deseo de que sea
entregado el paquete en un punto de recogida y conversación de WhatsApp donde
se le informan que, pese a lo anterior, el paquete fue entregado a un vecino.
En este
caso, GLS encomendó la entrega de este envío a IRIAPACK S.C.P, siendo esta
una empresa de transporte con la que GLS ha suscrito igualmente un contrato
de arrendamiento de servicios de transporte para la recogida y reparto de
paquetes en la provincia de Barcelona. GLS era la empresa responsable de
entregar el paquete a la parte reclamante de la manera en la que había
concertado con ella; si bien, se entregó a una tercera persona sin el
consentimiento de aquella y bajo su expresa oposición.
IRIAPACK
dispone de un procedimiento de entrega para el caso de que no sea posible la
entrega estándar. Así, en el caso de que no sea posible la entrega estándar,
ésta se debe realizar a aquellos vecinos que se encuentren en el mismo
rellano. Por su parte, GLS considera dicha actuación como un incumplimiento
grave del servicio la entrega de cualquier paquete en una dirección distinta
de la indicada por el destinatario, sin el consentimiento del destinatario.
Por ello, una vez que GLS constató la entrega incorrecta de dicho envío por
parte del mensajero de IRIAPACK se abrió el correspondiente expediente a la
empresa colaboradora, siéndole impuesta a esta la penalización prevista en
los procedimientos de entrega, por lo que teniendo en cuenta que, dichos datos
ya eran conocidos por el vecino; en consecuencia, no ha habido una exposición
indebida de los datos personales de la reclamante, y teniendo en
consideración las medidas adoptadas; la AEPD considera oportuno acordar el
archivo del procedimiento contra GLS.
|
|
Procedimiento:
|
|
AI-00075-2024
|
|
Artículos
afectados:
|
|
Art. 32
RGPD (Medidas de seguridad)
|
|
Resolución:
|
|
Archivo
de procedimiento
|
|
|
|
|
|
|
|
- Transferencias
Internacionales – Administración Pública -
|
|
Aperciben
a la FNMT por hacer uso de las cookies analíticas de Google
|
|
El
reclamante denuncia la utilización de cookies por parte de la Fábrica
Nacional de Moneda y Timbre en su sitio web, sin informar ni recabar el
consentimiento de los usuarios. Hace mención específica al uso de cookies
analíticas de Google y a la posibilidad de que ello implique la transferencia
internacional de datos a EE. UU. Sobre estas cuestiones el reclamante se
dirigió al DPD del organismo, manifestando no haber recibido respuesta.
Tras las
actuaciones de investigación de la AEPD, se observa que sin ninguna
interacción con la web por parte del usuario, se instalan cookies como _ga y
_gid, así como parámetros como "sr", "cid" (valor de la
cookie _ga), "dl", "dt", entre otros. Google ha
manifestado que todos los datos recopilados a través de Google Analytics
están alojados en los Estados Unidos. En este sentido, las Condiciones del
Servicio de Google Analytics incorpora un apéndice titulado “Términos del
Tratamiento de Datos de Google Ads”, que contiene las Cláusulas Contractuales
Tipo que rigen la transferencia de datos personales a los Estados Unidos de
América bajo el servicio Google Analytics. Por lo tanto, los datos
recopilados a través de Google Analytics se transfieren a los Estados Unidos.
Dicha transmisión de datos requiere una base jurídica de conformidad con el
artículo 44 y siguientes del RGPD.
- Decisiones
de adecuación: En la sentencia Schrems II, el TJUE invalidó la
Decisión de Ejecución sobre la adecuación de la protección ofrecida por el
"EU-US Privacy Shield", por lo que a la fecha de los hechos objeto
de la reclamación (29/11/2022), no existía decisión de adecuación vigente con
los EE. UU. en los que pudiera ampararse dicha transferencia
- Cláusulas
tipo de protección de datos: Si bien las Cláusulas Contractuales Tipo
(CCT) de Google para la transferencia de datos personales a los Estados
Unidos se ajustan a las publicadas por la Comisión Europea en la Decisión
2010/87/UE, constituyen un instrumento de transferencia en el sentido del
capítulo V del RGPD, el TJUE consideró en la citada sentencia que estas
cláusulas por sí solas eran insuficientes. En el caso de Estados Unidos, los
programas de vigilancia reglamentaria, no satisfacen las exigencias mínimas
establecidas por el Derecho de la Unión con respecto al principio de
proporcionalidad, de modo que los programas de vigilancia basados en estas
disposiciones no pueden considerarse limitados a lo estrictamente necesario;
pues Google LLC, como proveedor de servicios de comunicaciones electrónicas,
está sujeto a vigilancia por parte de los servicios de inteligencia de EE.
UU, y tiene la obligación de proporcionar datos personales al gobierno de los
Estados Unidos cuando se le solicite.
- Medidas
complementarias de Google: las medidas complementarias adoptadas
presentadas por Google no son eficaces, por cuanto ninguna de ellas impide
las posibilidades de acceso de los servicios de inteligencia estadounidenses
ni hace que estos accesos sean ineficaces.
Si bien en
la actualidad Google LLC ha certificado su adhesión a los principios del
Marco de Privacidad de Datos hasta el 13 de septiembre de 2024 (debido a la
necesidad de renovar anualmente dicha certificación), estando amparadas las
transferencias internacionales de datos a Google LLC en los EE.UU. por el
nuevo Marco de Privacidad de Datos, en la fecha en la que ocurrieron los
hechos objeto de la reclamación, la FNMT no puede invocar ninguna de las
herramientas previstas en el Capítulo V del RGPD para justificar las
transferencias internacionales de datos personales de los visitantes a su
sitio web
|
|
Procedimiento:
|
|
PA-00052-2023
|
|
Artículos
afectados:
|
|
Art. 44
RGPD (Transferencias Internacionales)
|
|
Resolución:
|
|
Apercibimiento
(Art. 77 LOPDGDD)
|
|
Anotaciones:
|
|
Google Analytics
funciona incluyendo un bloque de código Javascript en las páginas de un sitio
web. La operación de ‘tracking’ envía datos acerca de la página solicitada a
través de varios medios y envía esta información al servidor de Analytics.
Los datos entonces se procesan más extensamente y terminan en los reportes
del propietario de la web, en este caso la FNMT. Google Analytics recopila la
consulta http del usuario y la información sobre el navegador y el sistema
operativo del usuario, entre otras cosas. Una solicitud http, para cualquier
página, contiene detalles del navegador y del dispositivo que realiza la
consulta, como el nombre de dominio y la información del navegador, como su
tipo, referencia e idioma. Google Analytics almacena y lee cookies en el
navegador del usuario para evaluar la sesión del usuario y otra información
sobre la consulta.
Cuando
el reclamante visita un sitio web que hace uso de Google Analytics se
transmiten, entre otros datos, la IP del usuario que tiene la consideración
de datos personales, pues no pierde el carácter personal simplemente porque
los medios de identificación residan en terceras entidades. Además, en estos
casos la dirección IP puede combinarse con otros elementos que permitan la
reidentificación.
Las
cookies _ga y _gid se usan para distinguir a los usuarios y que el parámetro
“sr” se refiere a la resolución de pantalla. Los identificadores de
visitantes son identificadores únicos destinados para diferenciar individuos
(donde esa diferenciación no era posible antes), y hacen que los individuos
sean identificables. Estos identificadores también pueden combinarse con otra
información, como la dirección del sitio web visitado, los metadatos
relativos al navegador y el sistema operativo, la hora y los datos relativos
a la visita al sitio web y la dirección IP.
|
|
|
|
-
Minimización de datos e información al interesado – Casinos y apuestas -
|
|
La AEPD
sanciona al casino online EUROBOX por requerir más información de la
necesaria a un usuario
|
|
El
reclamante manifiesta que su cuenta en la página de apuestas de EUROBOX ha
sido suspendida y para volver a activarla le han solicitado documentación
acreditativa de su identidad, de su domicilio y de su situación laboral y
financiera. Según indica, "Respondo a todas sus preguntas, pese a dudar
completamente de la legalidad de estas" y tras haber facilitado toda la
documentación solicitada por la entidad, aún no han reactivado su cuenta.
Por su
parte, EUROBOX indica que solicitó al reclamante una serie de documentos
debido a que su comportamiento en el uso de los servicios de EUROBOX, era
indicativo de un jugador profesional, lo cual está específicamente prohibido
por el Art 2 a) Ley 13/201, y como medida consecuente implementada para
abordar las violaciones de los términos y condiciones establecidos que rigen
dicha plataforma de juego, concluyendo que realmente se había producido un
incumplimiento de los términos y condiciones de la contratación, por lo que
la cuenta de la parte reclamante fue suspendida, sin ponerlo en su
conocimiento al tratarse de una información confidencial del operador.
En
concreto, EUROBOX solicitó los siguientes datos a la parte reclamante:
domicilio registrado, profesión actual, sueldo bruto anual, si juega con
fondos propios o cedidos por terceros y última nómina o declaración
trimestral en el caso de ser autónomo. La petición de estos datos, según
indicaba inicialmente el correo de EUROBOX, se basa en la política de “Juego
más seguro” de EUROBOX. Sin embargo, en la respuesta al traslado de la
reclamación realizado por esta Agencia, EUROBOX afirmó que la suspensión de la
cuenta obedecía al comportamiento del usuario, del que se deducía que podía
ser profesional. Por lo tanto, no queda clara la finalidad para la que se
solicitan todos esos datos, y en qué medida son necesarios para identificar
las conductas a que se refiere EUROBOX a fin de conseguir un juego más seguro
o que el comportamiento de la parte reclamante sea indicativo de un jugador
profesional. En ningún momento en su Política de Privacidad precisan que
puedan recogerse datos como la profesión, retribuciones brutas anuales o el
origen de sus ingresos; así como tampoco lo contempla el contrato con los
usuarios.
Teniendo
en cuenta las as consideraciones acerca del principio de minimización de
datos realizadas por el Comité Europeo de Protección de Datos (CEPD), en las
que se indica respecto de la minimización de datos que se deberá evitar todo
tratamiento de datos cuando sea posible; limitándose su cantidad a lo
estrictamente necesario, debiendo ser adecuados, pertinentes y necesarios
para el cumplimiento de los fines especificados, se deduce que no puede
justificarse la recogida de datos por EUROBOX, quien no puede solicitar a sus
usuarios todo tipo de datos, como ocurre en los correos remitidos al
reclamante, en los que en ningún caso se justifican para qué se necesitan
tales datos no parecen relevantes, no son necesarios ni son
pertinentes
con un tratamiento cuya finalidad ni siguiera ha sido identificada
debidamente.
|
|
Procedimiento:
|
|
PS-00109-2024
|
|
Artículos
afectados:
|
|
Art.
5.1.c RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado)
|
|
Resolución:
|
|
10.000 €
[8.000 € (Art. 5.1.c RGPD); 2.000 € (Art. 13 RGPD); 6.000 € por pago
voluntario y reconocimiento de responsabilidad]
|
|
|
|
|
|
|
|
-
Derecho de acceso – Comunicaciones Comerciales -
|
|
1.000 €
por no atender un correo electrónico solicitando el acceso a sus datos
|
|
Se
denuncia por el reclamante la recepción de un correo electrónico comercial
sin que previamente lo hubiera solicitado expresamente, y sin existir una
relación contractual previa, conteniendo el siguiente mensaje: “Hola
A.A.A., soy B.B.B. del Departamento de Prensa. ¿Cómo estás? Te contacto
porque quiero explicarte cómo ***EMPRESA.1 puede aparecer en más de 50
periódicos digitales como noticia, por una única cuota mensual de 99 eur sin
permanencia (…)”. Ante la recepción del mensaje, el reclamante remitió
mensaje a la dirección soporte@posicionar.org con fecha 24/04/23, en el cual
solicita el derecho de acceso y su oposición al tratamiento de sus datos
personales con fines de mercadotecnia, sin obtener respuesta alguna. A pesar
de ello, meses más tarde vuelve a recibir un nuevo correo, desde una
dirección diferente, conteniendo otro mensaje comercial. En ambas ocasiones,
se observa que el remitente pertenece a la entidad CARSO TRADING SL.
Del relato
de hechos, queda acreditado que el reclamante solicitó por escrito el acceso
a los datos que sobre él poseía la entidad, sin recibir respuesta alguna, lo
que se considera constitutivos de una infracción por vulneración del artículo
15 del RGPD.
|
|
Procedimiento:
|
|
PS-00518-2023
|
|
Artículos
afectados:
|
|
Art.15
RGPD (Derecho de acceso)
|
|
Resolución:
|
|
1.000 €
|
|
Anotaciones:
|
|
Resulta
extraño que sancione por no haber atendido el ejercicio de derecho de acceso,
y sin embargo no se pronuncie sobre la vulneración del derecho de oposición
del tratamiento, el cual estaba perfectamente acreditado en el mismo correo
que solicitaba el acceso
|
|
|
|
-
Incumplimiento de resoluciones – Página Web -
|
|
Continúan
las sanciones por no cumplir con las resoluciones de la AEPD
|
|
Con fecha
17 de abril de 2023 se dictó resolución en el procedimiento sancionador del
número de expediente EXP202208440, seguido contra CONSULTORÍA PERITACIONES
ALMERIENSES, S.L. En dicha resolución, además de sancionar con la imposición
de multa, se requería para que adoptara las medidas que requería dicha
resolución, consistentes en adaptar a la normativa su página web, ya que la
misma carece de la debida política de privacidad. En concreto, debe facilitar
diversa información de la que ha prescindido en su totalidad. En concreto,
está obligada a informar sobre sus datos de contacto, siendo insuficientes
los que aparecen en el sitio web ya que solo aparece el móvil y correo electrónico.
Tampoco informa de la base jurídica del tratamiento, de los destinatarios de
los datos personales, del plazo durante el cual conservará los mismos o, no
siendo posible fijarlo, sobre los criterios empleados para determinarlo. Ni
de que los usuarios pueden ejercer los derechos de acceso, rectificación,
supresión, limitación de su tratamiento, oposición al tratamiento y
portabilidad de los datos; o presentar una reclamación ante la autoridad de
control.
Sin
embargo, no consta que se hayan adoptado por parte de PERITACIONES
ALMERIENSES las medidas de cumplimiento que fueron impuestas; de modo que al
haberse notificado debidamente la resolución, y no habiendo presentado
alegaciones al acuerdo de inicio, el mismo es considerado propuesta de
resolución, sancionando por incumplir las resoluciones dictadas, no acreditar
ante la AEPD la adopción de las medidas requeridas
|
|
Procedimiento:
|
|
PS-00563-2023
|
|
Artículos
afectados:
|
|
Art.58.2
RGPD (Incumplimiento de resoluciones)
|
|
Resolución:
|
|
1.000 €
|
|
|
|
|
|
|
|
-
Confidencialidad – Aseguradoras -
|
|
Multa
de 200.000 € a ALLIANZ por una filtración de datos a la expareja de un
asegurado
|
|
En el
presente caso, el reclamante denuncia la filtración de sus datos personales
consistentes en número de póliza, matrícula de vehículo, así como nombre y
apellidos. El reclamante proporciona dos capturas de pantalla como evidencias
de la filtración de información, denunciando que su expareja había tenido
acceso a sus datos del seguro. Por su parte, ALLIANZ reconoce que los datos
personales de el reclamante fueron extraídos y filtrados por una empleada
suya, que los pasó a la expareja de el reclamante. No obstante, ALLIANZ
afirma que esa empleada, tramitadora de siniestros de la compañía, estaba
legitimada por sus funciones a tener acceso a las pólizas de los clientes
entre los que se encuentra el reclamante.
ALLIANZ
reconoce que no hay trazabilidad de accesos, y de esa falta de trazabilidad
se deduce una falta medidas de seguridad. Hay que tener en cuenta que la
trazabilidad es un instrumento que precisamente permite controlar la
posibilidad de existencia de accesos indebidos, sin perjuicio de que existan
perfilados. Además, en este caso se ha extraído un pantallazo de la
aplicación, pese a que hay aplicaciones que impiden la captura de pantallazos
de las aplicaciones para evitar un posible filtrado de información.
Con motivo
de los hechos, ALLIANZ inició una investigación interna como consecuencia del
requerimiento de información y, confirmó que el origen de la incidencia fue
una empleada del Centro de Tramitación de Siniestros (CTS) de la Compañía que
realizó en junio de 2022 una captura de imagen de la información que consta
en el aplicativo “consultas generales” del programa de gestión de
clientes de la Compañía respecto a la póliza del reclamante y procedió a
facilitar a la exesposa del titular de la Póliza, con quien la referida
empleada mantenía una relación de amistad.
ALLIANZ se
justifica indicando que su empleada para realizar el ejercicio de sus
funciones ha de tener acceso a los datos personales del reclamante. No
obstante, ni lo anteriormente indicado, ni la supuesta relación de amistad
entre la trabajadora de la compañía y la expareja del reclamante a la que se
han cedido los datos, permiten justifican ni legitimar los hechos objeto de
denuncia, es decir, que se haya dado acceso a los datos personales de la
reclamante a su expareja sin su consentimiento. Estos hechos suponen la
vulneración de la confidencialidad exigidas en la normativa de protección de
datos de carácter personal, por carecer de las medidas técnicas y
organizativas apropiadas en el tratamiento de los datos personales de los que
es responsable.
|
|
Procedimiento:
|
|
PS-00158-2024
|
|
Artículos
afectados:
|
|
Art.5.1.f
RGPD (Confidencialidad); Art.32 RGPD (Medidas de seguridad)
|
|
Resolución:
|
|
200.000 €
[140.000 € (Art. 5.1.f RGPD); 60.000 € (Art. 32 RGPD); 160.000 € por pago
voluntario]
|
|
|
|
|
|
|
|
-
Exactitud de los datos – Entidades bancarias -
|
|
200.000
€ a BBVA por incluir en un fichero de morosos sin notificar de manera
adecuada al deudor
|
|
La
reclamante manifiesta que ha tenido conocimiento de la inclusión de sus datos
personales en el fichero de solvencia de ASNEF-EQUIFAX, porque se le ha
impedido acceder a la contratación de préstamos en entidades financieras, así
como formalizar la contratación de determinados servicios como cambio de
compañía telefónica y de luz, por constar sus datos en el citado fichero.
Denuncia que la inclusión de los datos personales en el fichero de solvencia
se realizó sin llevarse a cabo adecuadamente el previo aviso, ya que la
dirección de correo postal a la que dicho aviso se remitió por ASNEF-EQUIFAX
no era la dirección correcta. La dirección fue facilitada por la entidad
BBVA, por impago de tarjeta de crédito en calidad de titular, y en la que
existía un saldo impagado. BBVA indica que requirió el pago de la deuda a la
dirección postal de la reclamante, sin que conste que los citados
requerimientos hayan sido devueltos.
Por su
parte, ASNEF-EQUIFAX trató de notificar la comunicación de la inclusión en el
fichero a la dirección consignada por BBVA, notificación que fue devuelta por
"Señas incorrectas". Al recibir la devolución de la notificación,
ASNEF-EQUIFAX genera una solicitud de confirmación a BBVA, para que revise la
dirección de envío de la notificación y proceda a la baja del dato si es
errónea o la confirme como correcta. Y por BBVA se les indica que la
dirección es correcta y por consiguiente el dato permanece dado de alta en el
fichero. No obstante, de las actuaciones de investigación, se observa que la
dirección postal que obra en la base de datos de BBVA es otra distinta.
Estos
hechos suponen la comisión de una infracción por parte de BBVA, por
vulneración del artículo 5.1.d) RGPD, que exige que los datos personales
recogidos sean exactos y, si fuera necesario, actualizados; de manera que han
de adoptar todas las medidas razonables para que se supriman o rectifiquen
sin dilación los datos personales que sean inexactos con respecto a los fines
para los que se tratan («exactitud»); por lo que al no facilitarse por parte
de BBVA la dirección exacta de la reclamante, se le ha causado un grave
perjuicio a la reclamante, ya que no pudo tener conocimiento de su inclusión
en ficheros de solvencia, al serle remitido el aviso de inclusión en el
fichero de solvencia, a una dirección de correo inexacta, al no haber sido
esta actualizada por la parte reclamada
|
|
Procedimiento:
|
|
PS-00088-2024
|
|
Artículos
afectados:
|
|
Art. 5.1
d) RGPD (Exactitud de los datos)
|
|
Resolución:
|
|
200.000 €
(120.000 € por pago voluntario y reconocimiento de responsabilidad)
|
|
|
|
|
|
|
|
-
Minimización de datos y cartelería – Videovigilancia -
|
|
Más
sanciones por cámaras que enfocan a la vía pública y sin cartelería
|
|
Por parte
de la Guardia Civil, puesto P. de Costa Teguise, se aporta Acta Denuncia en
la que se pone de manifiesto que la denunciada es responsable de un
establecimiento que cuenta con un sistema de videovigilancia con cámaras
orientadas a la vía pública, sin que conste autorización administrativa
previa para ello, ineficazmente señalizadas dado que cuentan con un cartel de
zona videovigilada en el que no se incluye referencia del responsable del
tratamiento y dirección a la que dirigirse para el ejercicio de derechos.
Señalan que, asimismo, también carecen de impresos informativos en materia de
protección de datos a disposición de clientes y usuarios. Por parte de la
empresa SEGURIDAD LANZAROTE, S.L., como empresa encargada del tratamiento
manifiesta, en síntesis, que: “La cámara sólo capta una franja mínima del
acceso al inmueble, no siendo factible la grabación de imágenes en la vía
pública. Tampoco realiza captación de imágenes de terrenos y viviendas
colindantes o cualquier otro espacio ajeno. Se instalarán en los accesos a la
zona videovigilada, y en un lugar visible, uno o varios carteles que informen
de que se accede a una zona videovigilada.” Junto a su escrito, aporta
fotografías de las cámaras, su ubicación y el espacio que captan.
Sin
embargo, por la AEPD en este caso concreto no se aceptan las alegaciones
presentadas por la reclamada, por cuanto no ha acreditado, con anterioridad
al inicio del procedimiento sancionador, que las cámaras no captaran la vía
pública en exceso, además de certificar que no había carteles.
|
|
Procedimiento:
|
|
PS-00105-2023
|
|
Artículos
afectados:
|
|
Art.
5.1.c) RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado)
|
|
Resolución:
|
|
1.000 €
en total (500 € cada infracción; 800 € por pago voluntario)
|
|
|
|
|
|
|
|
-
Minimización de datos e Información – Festivales -
|
|
Nueva multa
en conciertos por exigir copia del DNI y mantener información con la antigua
normativa
|
|
La
reclamante manifiesta que, para acudir acompañado de menores a conciertos
gestionados por DQG NORTE, se solicita que se cumplimenten autorizaciones por
parte de madres, padres o tutores de los menores que acudan a dichos eventos,
para lo cual se exige la aportación de copia del DNI de quien autoriza, así
como información personal de, tanto el autorizante, como de los menores que
acuden al evento. Señala asimismo que los documentos de autorización por los
que se recogen los referidos datos no informan adecuadamente en materia de
protección de datos, sin que, por otro lado, conste que cuenten con Delegado
de Protección de Datos. Aporta junto con su escrito de reclamación, copia de
los documentos de acceso al Reggaeton Beach Festival convocado en el año
2023, que deben ir debidamente firmados por el padre/madre/tutor legal y por
el autorizado, y donde se hace constar que esos documentos carecen de validez
sin la presentación de copia del DNI del acompañante de los menores. Por otra
parte, la información básica sobre política de privacidad de datos está
desactualizada haciendo referencia a la derogada Ley Orgánica 15/1999 de 13
de diciembre, de Protección de Datos de Carácter Personal.
En este
caso, DQG NORTE manifiesta que el motivo por el cual se solicita que el
acompañante de los menores aporte copia del DNI, es porque es necesario
realizar, antes de autorizar el acceso al recinto, una correcta
identificación de la persona para dar cumplimiento a la normativa vigente,
entendiendo que está legitimada para preservar la seguridad en el evento y
que la custodia del documento sólo se realiza en los casos de acompañamiento
y tutela de menores, y por un plazo de 24 horas desde la finalización del
evento.
La AEPD,
que no pone en duda la legitimación del tratamiento, indica que la recogida
de la fotocopia del documento de identidad del cliente con toda la
información contenida en ese documento es un tratamiento de datos personales
contrario al principio de “minimización de datos”, además que el “documento
de acceso a menores de 16 años”, en lo que respecta a la información básica
sobre protección de datos, estaba desactualizada y hacía referencia a la LOPD
15/1999, documento en el que no se hacía mención sobre el tratamiento que se
va a realizar de los datos obtenidos a través de la copia del DNI y tampoco
del plazo de conservación de los mismos.
|
|
Procedimiento:
|
|
PS-00569-2023
|
|
Artículos
afectados:
|
|
Art.
5.1.c) RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado)
|
|
Resolución:
|
|
5.000 €
en total [Art. 5.1.c) RGPD (3.000 €); Art. 13 RGPD (2.000 €); 3.000 € por
pago voluntario y reconocimiento de responsabilidad]
|
|
|
|
|
|
|
|
-
Confidencialidad laboral – Resolución Judicial -
|
|
El Tribunal
Superior de Justicia de Andalucía confirma un despido de una trabajadora
social por enviarse correos electrónicos profesionales a su dirección
personal
|
|
La
demandante prestó servicios para la demandada Mensajeros de la Paz de
Andalucía S.A. como educadora social. Con fecha 15 de junio de 2022, la
trabajadora envió al director provincial de mensajeros en Granada, un email
comunicando la recepción de una carta certificada de sanidad con la carta de
pago de una tasa. Ese mismo día el Director contestó al correo ordenándole
que efectuase el pago. El día 3 de Octubre de 2022 la Asociación recibió
resolución de 27/9/2022 en la que la Agencia Tributaria Andaluza en fase
ejecutiva compensaba el importe de dicha tasa, por no haberse abonado en plazo.
El impago de la tasa en plazo conllevó la pérdida de una subvención de
190.000 € al incumplirse el requisito de estar al corriente en el pago de las
obligaciones tributarias y de Seguridad Social. La trabajadora que está en el
centro por las mañanas es la encargada de estas gestiones (revisar
diariamente el correo electrónico y gestiones los asuntos que se deriven; ajustar
y registrar el gasto realizado por la mañana y mostrarlo a la persona del
turno siguiente). No se hizo ninguna referencia al director provincial de que
no podía hacerse el pago por no existir dinero en el banco, lo cual se
hubiera solucionado por éste o en su caso exculparía a la trabajadora.
Por ello,
se procedió a comunicar a la trabajadora apertura del Expediente
Disciplinario, proponiendo su despido, lo que hizo que la actora enviase
desde el correo corporativo, múltiples correos electrónicos a su dirección de
email personal, sin autorización y contraviniendo el acuerdo de
confidencialidad y secreto profesional, lo que constituye una violación de la
Protección de Datos y del deber de confidencialidad que esta norma obliga, y
de la buena fe contractual que debe regir la relación laboral entre el
trabajador y empresa. Se ha podido comprobar que tras el envío de todos esos
emails a su dirección personal procedió al borrado de la bandeja
"enviados" de estos corros intentando con ello borrar el rastro de
su utilización.
Entiende
el Tribunal que ambos hechos descritos determinan una desobediencia, ruptura
de la buena fe contractual, y falta de diligencia, tanto el hecho de no
efectuar el pago de la tasa después que el director provincial le diera orden
de la misma, y que derivó en un gran perjuicio al perder la subvención de
190.000 €; como el envío de datos de los usuarios a un correo personal,
contraviniendo la normativa de aplicación en materia de protección de datos y
especialmente cuando estamos ante menores o personas vulnerables, siendo
mayor la exigencia de confidencialidad que viene a recoger el art. 5 LOPDGDD,
y del art. 5 RGPD. Cualquier dato que se trasmita desde la base del centro de
trabajo hacia un correo personal es por lo tanto una transferencia no
autorizada de datos, y la protección que se da por la Ley Orgánica es estricta.
La falta de diligencia por la trabajadora en tal trasmisión, cuando además
dicha conducta podría haberse incluso agravado si se trasmiten datos
confidenciales y que pueden ser utilizados no solo por ella sino por terceros
aprovechándose de dicha trasferencia, fuera ya de que dicha conducta roza el
carácter penal.
|
|
Procedimiento:
|
|
STSJ
AND 942/2024
|
|
Artículos
afectados:
|
|
Art.
5 RGPD (Confidencialidad); Art. 5 LOPDGDD (Confidencialidad)
|
|
Resolución:
|
|
Desestimación
de la demanda; Confirmación del despido
|
|
|
|
|
|
|
|
-
Videovigilancia laboral – Resolución Judicial -
|
|
El Tribunal
Superior de Justicia de Castilla León declara nulo el despido amparado en las
grabaciones de videovigilancia que captaban audio
|
|
La
trabajadora prestaba sus servicios para la empresa como Ayudante de
peluquería. A finales de 2022 se le comunicó carta de despido por hurto,
falta grave de respeto y consideración a las jefes constitutivas de
transgresión de la buena fe contractual. Estos hechos objeto y causa del
despido producido se han obtenido y basado en las grabaciones realizadas con
cámaras de videovigilancia, con audio.
La nueva
regulación ha supuesto un cambio de paradigma normativo. En el ámbito
concreto de las relaciones laborales, la nueva Ley Orgánica de Protección de
Datos ha previsto expresamente una serie de criterios generales para el
tratamiento de los datos derivado del uso de dispositivos de videovigilancia
y de grabación de sonidos.
En este
caso, ante un hecho que se calificó de irregular por la gerencia de la
empresa, se examinaron las cámaras de seguridad, que estaban instaladas en
los lugares de atención al público, y se verificó al día siguiente que se
había cometido una conducta ilícita por parte de uno de los trabajadores, lo
que motivó su despido. No consta que los trabajadores hubieran recibido la
información previa y expresa de la instalación de las cámaras y de su
eventual uso con fines disciplinarios. No obstante, la instalación del
sistema de videovigilancia estaba advertida en un lugar visible de la
empresa, mediante un distintivo que se ajustaba a la normativa vigente sobre
protección de datos.
Ahora
bien, como especiales circunstancias concurrentes aquí, hay que puntualizar:
de un lado, las cámaras no sólo lo eran de grabación, sino también de audio,
sin que de dicho extremo se diera conocimiento a los trabajadores. De otro
lado, a la hora de su utilización a dichos fines de control pretendidos,
dichas medidas utilizadas deben resultar proporcionales para tales fines,
juicio de valor a realizarse por poder conculcar derechos fundamentales en
juego. Finalmente, el uso de las mismas en el plano laboral debe someterse a
la legislación específica establecida en la LO 3/2018, de Protección de
Datos. Sentado todo lo anterior, debemos concluir: si bien en un principio el
empresario estaba en su derecho para poder instalar cámaras de control de
videovigilancia, anunciadas con cartel visible, al tratarse de cámaras con
audio, debería haber notificado dicho extremo, previamente, a los
trabajadores, por poder afectar, no sólo a su intimidad, en abstracto, sino
también a su derecho a la intimidad y secreto en sus comunicaciones.
El Art.
89.3 LOPDGDD, de obligada aplicación al caso presente, solo permite la
utilización de sistemas de grabación de sonidos cuando resulten relevantes
los riesgos para la seguridad de las instalaciones, bienes y personas
derivados de la actividad que se desarrolle en el centro de trabajo y siempre
respetando el principio de proporcionalidad, el de intervención mínima. Este
no es el caso presente, con lo que, como lógica consecuencia derivada de
dicho incumplimiento, las pruebas así obtenidas-determinantes, además, para
acreditar los hechos causa del despido- lo han sido de forma ilegítima y
vulnerando el derecho a la intimidad de la trabajadora, no guardando, por
ello, la proporcionalidad constitucionalmente requerida, en los términos ya
expuestos. Como conclusión de todo lo anterior, el despido realizado debe
mantenerse como nulo, conforme al Art. 55.5 ET y el Art. 18 CE, a todos los
efectos legales oportunos
|
|
Procedimiento:
|
|
STSJ
CL 337/2024
|
|
Artículos
afectados:
|
|
Art.
22.4 LOPDGDD (Sistemas de videovigilancia en el ámbito laboral); Art. 89.3
LOPDGDD (Intimidad del trabajador ante)
|
|
Resolución:
|
|
Nulidad
del despido (Readmisión de la trabajadora y abono de salarios dejados de
percibir)
|
|
|
|
|
|
|
|
|
|
-
Confidencialidad – Videovigilancia -
|
|
70.000 €
a una fábrica por divulgar a través del sistema de mensajería imágenes de las
cámaras de videovigilancia
|
|
La
reclamante manifiesta que trabaja en la fábrica CUI ZSQ FOOD, S.L. y que en
sus instalaciones cuentan con un sistema de videovigilancia que ha sido
utilizado por la empresa. Ante una ausencia de una persona por un tiempo de
18 minutos de su puesto de trabajo, y con el fin de amenazar laboralmente a
los empleados, a través de un grupo de la aplicación de telefonía móvil WE
CHAT, difundió dos videos alusivos al periodo de ausencia de dicha persona.
Junto a la reclamación se aporta copia de los videos publicados en el chat e
imágenes del chat, en idioma chino, y traducción al español realizada por un
traductor- intérprete jurado de chino.
Por parte
de CUI ZSQ, se indica que dispone de un sistema de vigilancia aportando las
fotografías de todos los dispositivos, así como imágenes de los monitores.
Constan igualmente fotografías de los carteles que avisan de la existencia de
zona videovigilada. La finalidad del sistema de videovigilancia instalado
tiene por objeto la seguridad de las instalaciones y de los propios
trabajadores, vigilancia del control de calidad de los productos, así como
verificar el cumplimiento de las obligaciones y deberes de los trabajadores.
A todos los trabajadores se les hace entrega de un documento de política de
privacidad de relaciones laborales, en el que, entre otras cosas, se les
informa de la existencia de un sistema de videovigilancia y la finalidad de
ésta.
Respecto a
la difusión de dos vídeos en el grupo de trabajadores en la aplicación
WECHAT, una vez revisadas las imágenes aportadas, concluyen que dichos vídeos
y conversaciones son fruto de una reacción en caliente por parte de la
persona encargada del seguimiento de la producción, ante la ausencia por un
tiempo prolongado de alguna persona en su puesto de trabajo, hecho que deriva
en un perjuicio notorio para la empresa y los demás trabajadores. Se explica
que no se procedió a sancionar ni a amonestar a ningún trabajador por este
suceso, y tampoco es posible identificar a ningún trabajador a través de las
imágenes aportadas, dada la calidad de las mismas, siendo que lo único que se
ve en las mismas, es a un trabajador regresando a su puesto de trabajo fuera
de hora, pero sin ser posible su identificación, ya que la resolución de las
cámaras no lo permite, pues éstas solo tienen por objeto controlar el número
de empleados trabajando en la línea de producción en cada momento.
Si bien
inicialmente se dictó archivo de resoluciones, por la reclamante se recurrió,
indicando que se divulgó injustificadamente un vídeo de seguridad sin
consentimiento de los empleados, y que en dichas imágenes se puede ver e
identificar a la persona; recurso que fue estimado por cuanto en el vídeo se
identifica a una persona del sexo femenino en su entorno laboral ausentándose
de forma temporal de su puesto y reincorporándose minutos después, por lo
que, aun cuando no haya habido ningún tipo de repercusión laboral, tal
difusión careció de fundamento jurídico alguno y se vulneró la
confidencialidad de los datos personales de la citada trabajadora así como
del resto de empleados visibles en la grabación.
|
|
Procedimiento:
|
|
PS-00435-2023
|
|
Artículos
afectados:
|
|
Art.
5.1.f) RGPD (Confidencialidad)
|
|
Resolución:
|
|
70.000 €
(42.000 € por pago voluntario y reconocimiento de responsabilidad)
|
|
|
|
|
|
|
|
- Oposición
al tratamiento – Comunicaciones comerciales -
|
|
5.000 €
por continuar remitiendo publicidad pese a haber solicitado la baja en
múltiples ocasiones
|
|
La
reclamante manifiesta haber solicitado hasta en cinco ocasiones o más su
supresión de la lista de distribución de contenido comercial de la ALL IN
DIGITAL MARKETING SL, habiendo recibido confirmación en todas ellas, pero al
comprobar que seguía recibiendo correos electrónicos comerciales de esta
empresa les mandó además un correo electrónico el 21/07/23. No obstante,
sigue recibiendo publicidad vía correo electrónico.
Por su
parte, la empresa ALL IN DIGITAL MARKETING, indica que la reclamada se
registró en la web www.allzone.es el día 25/03/23, para la realización de un
pedido aceptando todas las condiciones generales de compra, política de
privacidad, suscripción a boletín de noticias y ofertas. Asimismo, indica que
disponen de un procedimiento habilitado para el ejercicio del derecho de
oposición es dirigir un correo electrónico a la dirección
delegadodatos@allindigital.es,y la reclamante no realizó este proceso en
ninguna ocasión. Alternativamente también tenía la posibilidad de acceder a
su área de clientes y darse de baja en las comunicaciones comerciales,
suscripción a boletín y ofertas asociadas. Por tanto, la reclamante no
solicitó la baja de la forma correcta según la política de datos de la
empresa. A pesar de ello, indican que se le dio de baja, pero posteriormente
volvió a acceder a su área de clientes y volvió a suscribirse en las
comunicaciones comerciales y por este motivo se volvió a enviar información
publicitaria.
Analizado
los hechos, y según consta por la empresa de Marketing, el usuario tiene
posibilidad de darse de alta y baja en la suscripción usuario tiene
posibilidad de darse de alta y baja en la suscripción a nuestro boletín y
ofertas asociadas cuantas veces quiera entrando a su área de clientes y
comprendemos que este ha sido el motivo de la interrupción y renovación en el
envío de comunicaciones comerciales; y los correos electrónicos publicitarios
fueron enviados a la reclamante cuando ésta se encontraba en “alta” en el
sistema. Sin embargo, la AEPD considera que debe prevalecer el correo
remitido en el que se desprende del usuario que no quería volver a recibir
comunicaciones comerciales a las distintas altas y bajas que figuran en el
sistema de la empresa. La entidad ALL IN DIGITAL MARKETING argumenta que esa
petición se hizo a un correo electrónico allzoners@allzone.es, es una
dirección “no-reply”, y que por tanto no pudo gestionar la baja, pero según
se puede leer textualmente en las cabeceras de los correos enviados se
indica: “Responder a: allzoners@allzone.es”, no existiendo en ningún otro
lugar información sobre que dicha dirección sea “no-reply” y que no puede ser
utilizada para ponerse en contacto con la entidad, desestimando sus
alegaciones y sancionando con ello a la empresa
|
|
Procedimiento:
|
|
PS-00574-2023
|
|
Artículos
afectados:
|
|
Art. 21
LSSI (Consentimiento comunicaciones comerciales)
|
|
Resolución:
|
|
5.000 €
|
|
|
|
|
|
|
|
-
Información del tratamiento – Abogados -
|
|
La AEPD
apercibe a un abogado por no informar adecuadamente del tratamiento y le
ordena colocar cláusula en todos los formularios y facturas
|
|
El
reclamante indica que contrató los servicios del abogado reclamado y que
este, nunca le informó sobre el tratamiento de sus datos personales ni sobre
política alguna de protección de datos de carácter personal y nunca llegó a
recabar por ningún medio mi consentimiento para tratar sus datos personales.
Fruto de dicha relación, el reclamante afirma que solo dispone de la factura
emitida por el abogado, en la que no figura cláusula informativa o texto
sobre protección de datos de carácter personal. Con anterioridad ya presentó
reclamación denunciando el incumplimiento del deber de información respecto
de la web www.abogadoslowcostag.com, en la que existe un formulario de
contacto en la web que permitiría recabar datos, pero carece de política de
privacidad o aviso legal, por lo que no se especifican los fines del
tratamiento ni se identifica al responsable del tratamiento o su domicilio.
Por su
parte, el abogado reclamado considera no haber infringido la Ley de
Protección de Datos, si bien no se le había detallado por escrito la
normativa de la Ley de Protección de Datos al reclamante. Declaraba que no
realiza ningún fichero informatizado con los datos personales de sus
clientes, ni perfiles. Toda la información la guarda en un disco duro dentro
de una carpeta con nombre y apellido de los clientes. Dicho disco duro está
protegido con contraseña, siendo él la única persona con acceso a dicho disco
duro. No se considera tratamiento a gran escala el tratamiento por un abogado
que ejerce individualmente, por lo que los abogados que ejercen de forma
individual no tendrán que nombrar delegado de Protección de Datos, ni
considera tratamiento a gran escala el tratamiento por un abogado que ejerce
individualmente, por lo que los abogados que ejercen de forma individual no
tendrán que realizar evaluación de impacto de Protección de Datos. Por
último, hace referencia a que los datos que trata se encuentran sometidos al
secreto profesional en el ejercicio de la abogacía. Respecto de la web,
manifiesta que a raíz de la recepción del escrito de traslado han
perfeccionado la pestaña de suscripción a la página web y también incluyen
más información sobre la Ley de protección de datos.
Lo cierto
es que por el abogado reclamado, a lo largo de toda la relación contractual,
no ha informado sobre el tratamiento de datos de carácter personal, ni hecho
constar ninguna cláusula informativa sobre el tratamiento de estos datos en
la factura emitida a la parte reclamante, al igual que no aparecía ninguna
referencia en su página web sobre política de privacidad, por lo que
considera la AEPD que se ha tratado datos personales de la reclamante sin
atenerse a las estipulaciones del artículo 13 del RGPD, por lo que se ordena
para que el abogado proceda a incluir la cláusula informativa o texto legal
sobre el tratamiento de los datos en todos los formularios en los que recoge
datos personales, así como en las facturas que emita en el ejercicio de su
actividad, así como proceda a la publicación en su página web de la
correspondiente política de privacidad .
|
|
Procedimiento:
|
|
PA-00071-2023
|
|
Artículos
afectados:
|
|
Art. 13
(Información al interesado)
|
|
Resolución:
|
|
Apercibimiento
+ Publicación de Política de Privacidad e inclusión de cláusula en
formularios y facturas
|
|
|
|
|
|
|
