Sanciones AEPD en

Nueva multa millonaria por parte de la AEPD

07/05/2021/0 Comentarios/en Normativa Legal, Sanciones AEPD, Sin categoría /por Equal Consulting

La Agencia Española de Protección de Datos (AEPD) dictó, el pasado 4 de mayo de 2021, su resolución en el procedimiento PS / 00236/2020 en la que impuso dos multas por importe de 1,5 millones de euros a EDP ENERGÍA, SAU por el tratamiento de datos personales sin consentimiento del interesado.

Se añade así una nueva sanción millonaria por parte de la Agencia en materia de protección de datos en nuestro país. Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, la AEPD ha dictado más de 650 procedimientos sancionadores basándose en dicha normativa, y sólo en el primer semestre de este año suma ya más de 20 millones de euros en multas (encabezando el ranking la sonada sanción a Vodafone por valor de 8 millones de euros).

En el presente caso, la AEPD da inicio al procedimiento tras recibir una reclamación contra la compañía eléctrica, por haberse efectuado en nombre de la afectada la contratación de sus servicios sin su consentimiento, contratación realizada supuestamente por un representante, sin que dicha entidad pueda acreditar la existencia de tal representación. Además de esta, la Agencia había recibido ya varias reclamaciones de índole muy parecida.

Tras recabar la documentación precisa y estudiar el procedimiento de actuación de la empresa, la Agencia declara:

En primer lugar que no se habían adoptado medidas para comprobar la existencia de autorización para contratar o para prestar consentimiento en nombre del representado, lo cual incumple las obligaciones del artículo 25 del Reglamento General de Protección de Datos (RGPD), de establecer las medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento a fin de cumplir los requisitos del Reglamento y proteger los derechos de los interesados. Además, la Agencia estima que concurren diferentes hechos con calidad de agravantes: la naturaleza, gravedad y duración de la infracción; la intencionalidad o negligencia apreciada en la comisión de la infracción; el carácter continuado de la infracción; La alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales; la condición de gran empresa de la entidad responsable y su volumen de negocio; y el elevado volumen de datos y tratamientos que constituye el objeto del expediente

Esta infracción se encuentra tipificada en el artículo 83.4.a) RGPD y calificada como grave a efectos de prescripción en el artículo 73.d) de la LOPDGDD. Por este hecho la Agencia impone a la compañía una multa por importe de 500.000 euros.

Como segunda parte de la resolución, la Agencia considera que la empresa ha cometido también una infracción del principio de transparencia recogido en el artículo 13 del Reglamento, por no proporcionar información suficiente a los interesados al obtener sus datos para la contratación de los servicios. Esta acción cuenta con los mismos hechos agravantes mencionados anteriormente y sumándose el elevado número de interesados, ya que la infracción afecta a todos los clientes personas físicas de la entidad.

Este incumplimiento está tipificado en el artículo 83.5.b) RGPD y calificado como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. Tras el análisis del presente caso, la Agencia impone por esta falta una multa por importe de 1.000.000 euros.

María Galera Meléndez, Redacción Equal.

Adaptación a la LOPD RGPD para empresas | Equal Protección de Datos

La AEPD sanciona con 3.000€ a una asesoría que envía por email documentación de un cliente por error

26/04/2021/0 Comentarios/en Normativa Legal, Sanciones AEPD, Sin categoría /por Equal Consulting

Las denuncias de clientes son la causa de la mayor parte de las sanciones que reciben los autónomos por parte de la Agencia Española de Protección de Datos (AEPD).

En este caso, nos encontramos con un procedimiento sancionador de la AEPD (PS 483/2020), que comienza con la reclamación de uno de los clientes de una asesoría fiscal, laboral y contable de Barcelona, el cual solicitó documentación necesaria para unos trámites ante Hacienda a dicha entidad, y ésta, vía correo electrónico le remitió un documento en el que aparecen datos personales de un tercero, también cliente de la misma asesoría.

Una vez recibida la reclamación, la Subdirección General de Inspección de Datos, requirió una serie de documentos a la asesoría para remitírselos a la Agencia, tales como informes sobre las causas motivadoras de la incidencia y las medidas de seguridad tomadas. Tras no recibir respuesta por parte de la asesoría, la directora de la AEPD admitió a trámite la reclamación e inició el procedimiento sancionador.

El objeto del procedimiento es la divulgación de los datos personales del tercero, vulnerando de esa manera el deber de confidencialidad recogido en el artículo 5 de nuestra Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), cuyo objeto es evitar que se difundan datos sin consentimiento de su titular, deber también recogido en el artículo 5.1.f) del Reglamento General De Protección de Datos (RGPD), donde podemos encontrar entre los principios básicos relativos al tratamiento de los datos, el de integridad y confidencialidad, que recoge que los datos personales serán “ tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.”

Ese deber de confidencialidad, declara la Agencia, es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

La infracción de los principios básicos para el tratamiento de los datos, recogidos en el artículo 5 del RGPD que ha llevado a cabo esta gestoría con su equivocación, está tipificada en la LOPDGDD como infracción muy grave (art. 72) y el RGPD en su artículo 83.5 a) la considera sancionable con multas administrativas de 20.000.000€ como máximo o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Como consecuencia, la Agencia impone a esta asesoría catalana una multa de 2.000€.

Por otra parte, la asesoría incurre en otra infracción al vulnerar el artículo 32 del Reglamento, que expone que los responsables del tratamiento deben aplicar “las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, y pone algunos ejemplos como la seudonimización y el cifrado de datos personales. En este caso la AEPD entiende que ha fallado la seguridad del tratamiento al producirse un incidente de seguridad en su sistema permitiendo el acceso a datos personales de un tercero, al ser remitido correo permitiendo el acceso al documento que los contenía con quebrantamiento de las medidas de seguridad.

El incumplimiento de las obligaciones del responsable y del encargado recogidas en el artículo 32 del Reglamento es considerada infracción grave por la LOPDGDD en su artículo 73 y sancionable con multas administrativas de 10.000.000 € como máximo o de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, según el artículo 83.4. a) del citado RGPD. Por ello, la Agencia le impone a esta entidad una multa de 1.000€.

En total una multa de 3.000€ que podría haber sido evitada con la debida diligencia. A diario nos encontramos con resoluciones similares por parte de la AEPD que nos indican que no hay que relajarse en el cumplimiento de la normativa de protección de datos (y menos como empresa responsable del tratamiento de los datos personales de los clientes), ya que es una materia que está adquiriendo más importancia cada día y sobre la que la población está cada vez más concienciada.

María Galera Meléndez, Redacción Equal.

Adaptación a la LOPD RGPD para empresas | Equal Protección de Datos

Multa de 15.000€ a una comunidad de propietarios por parte de la AEPD

16/03/2021/0 Comentarios/en Ciberseguridad, News, Noticias, Sanciones AEPD /por Equal Consulting

Empresa no respeta el derecho de supresión ejercido por un excliente y es sancionada por la AEPD

10/02/2021/0 Comentarios/en Sanciones AEPD, Sin categoría /por Equal Consulting

En este procedimiento la AEPD decide sancionar a una empresa por seguir mandando mails comerciales a un excliente que había solicitado que todos sus datos fuesen eliminados de la base de datos de la empresa sancionada :

Procedimiento Nº: PS/00304/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes ANTECEDENTES

La AEPD apercibe a una empresa al no tener las cookies de su web adecuadas al RGPD

17/07/2020/0 Comentarios/en Normativa Legal, Sanciones AEPD /por Equal Consulting

Resolución por parte de la AEPD en la que apercibe, sin llegar a sancionar, a una empresa debido a no informar adecuadamente sobre el uso y cookies instaladas en su Web.

RESOLUCIÓN: R/00465/2019 En el procedimiento A/00014/2019, instruido por la Agencia Española de Protección de Datos a la entidad I.S.G.F. INFORMES COMERCIALES, S.L.y en virtud de los siguientes, ANTECEDENTES

PRIMERO: Con fecha 17 de diciembre de 2019 se registra de entrada en la Agencia Española de Protección de Datos reclamación formulada por Don A.A.A., (en lo sucesivo, el reclamante), dando cuenta que al visitar la página web https://isgf.es, Leer más

Procedimiento sancionador por envío de correo electrónico sin copia oculta.

11/07/2020/0 Comentarios/en Sanciones AEPD, Sin categoría /por Equal Consulting

En este procedimiento la AEPD decide apercibir por infracción del artículo 5.1.f) del RGPD al enviarse a los distintos socios de un club deportivo correos electrónicos sin copia oculta, haciendo accesibles las direcciones de correo personales de todos los socios :

Procedimiento Nº: PS/00478/2019
938-051119
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
En el procedimiento sancionador PS/00478/2019, instruido por la Agencia Española de
Protección de Datos, a la entidad CLUB ATLANTIDA SUB DE SANTA CRUZ DE TENERIFE con CIF: G38097754, (en adelante, “la entidad reclamada), por presunta infracción al Reglamento (UE) 2016/679, Leer más

Cookie	Duración	Descripción
cli_user_preference	11 meses	Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
cookielawinfo-checkbox-advertisement	1 año	Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
cookielawinfo-checkbox-analiticas	1 año	Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
cookielawinfo-checkbox-necessary	11 meses	Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
cookielawinfo-checkbox-performance	11 meses	Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
oc2rhwjb3khl	Sesión	Cookie técnica necesaria para el uso del acceso de clientes
oc_sessionPassphrase	Sesión	Cookie técnica necesaria para el uso del acceso de clientes
vchideactivationmsg_vc11	1 mes	Permite enviar mensajes desde el formulario de contacto
viewed_cookie_policy	11 meses	Cookie necesaria para el funcionamiento del plugin de consentimiento RGPD, guarda información sobre el consentimiento en relación a las cookies otorgado por el visitante de la web.
__Host-nc_sameSiteCookielax	Hasta el 31/12/2100	Cookie técnica necesaria para el uso del acceso de clientes
__Host-nc_sameSiteCookiestrict	Hasta el 31/12/2100	Cookie técnica necesaria para el uso del acceso de clientes

Cookie	Duración	Descripción
CSPWSERVERID	sesion	Usada para recordar quién es el usuario durante la sesión en nuestro servidor. No guarda información personal
NID	6 meses	Esta cookie contiene un ID único que Google utiliza para recordar tus preferencias y otra información, como tu idioma preferido, el número de resultados de búsqueda que quieres que se muestren por página (por ejemplo, 10 o 20) y si quieres que el filtro Búsqueda Segura de Google esté activado o desactivado
SERVERID	sesion	Cookie de balanceo de carga. Se utiliza para rastrear qué servidor web está utilizando el usuario.

Cookie	Duración	Descripción
vuid	2 años	Propiedad de Vimeo. Es usada para almacenar información de seguimiento, crea una única ID para los videos insertados en la web.
WMF-Last-Access	1 mes 19 horas 15 minutos	Asociada a Wikipedia, es usada para calcular los dispositivos únicos que acceden a la web.
WMF-Last-Access-Global	1 mes 19 horas 15 minutos	Asociada a Wikipedia, es usada para contabilizar cuentas veces la web ha sido visitada por un visitante diferente, esto se hace mediante un asignación de ID al visitante.
YSC	sesion	Pertenece a Youtube, se usa para hacer seguimiento de las vistas de los videos insertados en nuestra web.
_ga	2 años	Instalada por Google Analytics. Usada para calcular datos de visitas, sesiones y datos de campañas para mantener seguimiento del uso de la web de cara a los informes facilitados por Google Analytics. Las Cookies guardan información anonimizada.
_gali	Sesión	Utilizada por Google Analytics para registrar los elementos de la página anterior con los que el usuario ha interactuado para llegar a la página actual.
_gat	1 minuto	Esta cookie es instalada por Google Universal Analytics para controlar la tasa de peticiones de cara a limitar la colección de datos en al web.
_gid	1 día	Esta cookie es instalada por Google Analytics. Es usada para guardar información sobre como los visitantes usan la web, ayudando a crear un informe sobre el funcionamiento de la misma. Los datos recolectados hacen referencia al numeros de visitas, la fuente de la que proceden y las páginas visitadas, todo ello anonimizado.

Cookie	Duración	Descripción
IDE	1 año 24 días	Usada por Google DoubleClick, almacena información sobre como el usuario usa la web y otros anuncios antes de que se produzca la visita a la web. Es usada para presentar a los usuarios publicidad relevante de acuerdo a su perfil.
test_cookie	15 minutos	Añadida por doubleclick.net. El propósito de esta cookie es determinar si el navegador del visitante soporta cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Pertenece a Youtube, se usa para hacer seguimiento de la información de los videos insertados en la web

Noticias

NAVEGAR A :

Equal Protección de Datos