Resolución de distintos Procedimientos sancionadores por parte de la Agencia Española de Protección de datos en relación con incumplimiento de las obligaciones establecidas en el RGPD y la LOPD

La autoridad española de protección de datos (‘AEPD’) publicó, el 3 de junio de 2022, su resolución en el expediente PS-00608-2021, en la que sancionaba a una persona anónima con 600 €, que posteriormente se redujo a 360 €, por la infracción de los artículos 5 (1)(c) y 13 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (‘GDPR’), tras una denuncia recibida por la Guardia Civil

En concreto, la AEPD procedió a su investigación tras una denuncia presentada por la Guardia Civil contra el reclamado por tener instaladas cámaras de videovigilancia, con las cámaras orientadas hacia la vía pública, sin cartel informativo.

En sus conclusiones, la AEPD decidió que la demandada había violado el principio de minimización de datos conforme al artículo 5(1)(c) del RGPD e incumplió su deber de información conforme al artículo 13 del RGPD.

Dado lo anterior, la AEPD multó a la demandada con 300€ por infracción del artículo 5(1)(c) del RGPD y con otros 300€ por infracción del artículo 13 del RGPD. No obstante, la AEPD dispuso que debido a una admisión de culpabilidad y un pago voluntario por parte del reclamado, la multa se redujo en un 20% cada uno hasta los 360€.

¿Cuáles son los requisitos para cumplir con el RGPD al grabar con cámaras CCTV?

Según indica la propia agencia en el expediente, el tratamiento de imágenes a través de un sistema de videovigilancia, para ser conforme con la normativa vigente, debe cumplir los requisitos siguientes:

  • Respetar el principio de proporcionalidad.

  • Cuando el sistema esté conectado a una central de alarma, únicamente podrá ser instalado por una empresa de seguridad privada que reúna los requisitos contemplados en el artículo 5 de la Ley 5/2014 de Seguridad Privada, de 4 de Abril.

  • Las videocámaras no podrán captar imágenes de las personas que se encuentren fuera del espacio privado en donde esté instalado el sistema de videovigilancia, ya que el tratamiento de imágenes en lugares públicos sólo puede ser realizado, salvo que concurra autorización gubernativa, por las Fuerzas y Cuerpos de Seguridad. Tampoco pueden captarse ni grabarse espacios propiedad de terceros sin el consentimiento de sus titulares, o, en su caso, de las personas que en ellos se encuentren.
  • Esta regla admite alguna excepción ya que, en algunas ocasiones, para la protección de espacios privados, donde se hayan instalado cámaras en fachadas o en el interior, puede ser necesario para garantizar la finalidad de seguridad la grabación de una porción de la vía pública. Es decir, las cámaras y videocámaras instaladas con fines de seguridad no podrán obtener imágenes de la vía pública excepto en el caso de que resulte imprescindible para dicho fin, o resulte imposible evitarlo por razón de la ubicación de aquéllas y extraordinariamente también se recogerá el espacio mínimo para dicha finalidad. Por lo tanto, las cámaras podrían excepcionalmente captar la porción mínimamente necesaria para la finalidad de seguridad que se pretende.

  • Se deberá cumplir el deber de informar a los afectados previsto en los artículos 12 y 13 del RGPD y 22.4 de la LOPDGDD.
  • En concreto se deberá colocar en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados, en el que se identificará, al menos, la existencia de un tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en dichos preceptos. Asimismo, deberá mantenerse a disposición de los afectados la información.

  • El responsable deberá llevar un registro de actividades de los tratamientos efectuados bajo su responsabilidad en el que se incluya la información a la que hace referencia el artículo 30.1 del RGPD.

  • Las cámaras instaladas no pueden obtener imágenes de espacio privativo de tercero y/o espacio público sin causa justificada debidamente acreditada, ni pueden afectar a la intimidad de transeúntes que transiten libremente por la zona. No está permitida, por tanto, la colocación de cámaras hacia la propiedad privada de vecinos con la finalidad de intimidarlos o afectar a su ámbito privado sin causa justificada.

  • En ningún caso se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de la instalación y en particular, no pudiendo afectar a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

La AEPD ha sancionado a ALQUILER SEGURO S.A.U por vulneración del Artículo 6.1 del RGPD, al existir falta de legitimación en el tratamiento de datos efectuado.

El Proceso ha sido iniciado por parte de un particular participante en un proceso de selección que la sancionada estaba llevando a cabo.

El reclamante, no habiendo sido seleccionado para el puesto, y tras comprobar que la reclamada accedió a ficheros de solvencia en relación a su persona previamente, en concreto al fichero ASNEF, decidió reclamar ante la AEPD.

En la reclamación se argumentaba que Alquiler Seguro había hecho un acceso a datos no legitimo, al tratarse de un acceso al fichero para una finalidad distinta de la prevista, al no haber accedido al fichero para valorar la situación patrimonial a raíz de una futura relación comercial, de crédito o de pago periódico o aplazado, siendo esta la finalidad del mismo.

La reclamada responde

Tras dar la AEPD traslado de la reclamación a Alquiler Seguro, esta alega que la consulta de ficheros de solvencia es un procedimiento habitual que se lleva a cabo en ciertos procesos de selección, considerando legitimo el acceso a datos en dichos procesos.

Por otro lado indican no disponer de información en relación al reclamante, ya que, una vez finalizado el proceso de selección, se eliminaron los datos relativos a el candidato. Manifestando que «la única información para revisar el procedimiento efectuado, así como la posible brecha de seguridad consistente en un acceso no autorizado a los datos del afectado, son los anexos aportados por el presunto afectado»

La AEPD sanciona

La autoridad de control, tras efectuar las pertinentes pesquisas en relación a la reclamación y ponerse en contacto con Asnef-Equifax de cara a solicitar información adicional, resuelve multar a la reclamada con una sanción de 70.000 Euros.

Dicha sanción queda reducida a 42.000 Euros al reconocer Alquiler Seguro su responsabilidad en el no cumplimiento del RGPD en relación a la legitimidad de tratamiento de datos y al acogerse a pago voluntario.

Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

La AEPD ha sancionado con 30.000 Euros de multa a un establecimiento hotelero, por infracción, calificada como muy grave, del Artículo 6 del RGPD, en relación a la licitud del tratamiento de datos personales a la hora de hacer el registro de entrada.

El reclamante, un ciudadano de Paises Bajos, inició el proceso de reclamación ante la autoridad de control de su país, dando esta traslado de la reclamación a la autoridad competente, la AEPD, al encontrarse el establecimiento hotelero en España.

En su reclamación el reclamante indica que en el proceso de entrada y registro en el hotel le fue solicitado el pasaporte, siendo este escaneado digitalmente y en su totalidad pese a su oposición, alegando que no todos los datos incluidos en el mismo son necesarios. El personal del hotel le respondió señalando que ellos simplemente seguían las instrucciones de la policía en relación al registro de clientes.

En relación con la cuestión suscitada por el reclamante, la autoridad remitente preguntó si realmente la ley española obliga a escanear el pasaporte completamente o sólo son necesarios algunos datos para cumplir el proceso de registro.

¿Cuál ha sido el motivo de sanción?

El hotel, en el proceso de registro de entrada del cliente, escaneaba mediante un programa de reconocimiento óptico de caracteres el documento identificativo del cliente, incorporándose los datos que constan en el mismo de manera automatizada a un fichero interno de registro, datos como número, tipo y fecha de expedición del documento de identidad presentado, nombre y apellidos, sexo, la fecha y país de nacimiento, así como la fotografía.

Dichos datos, en cumplimiento de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, y la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos fueron remitidos a las Fuerzas y Cuerpos de Seguridad del Estado, así como utilizados para la “gestión hotelera».

Dentro de ese proceso de gestión hotelera dichos datos eran transferidos a los departamentos de administración y servicios de comida y bebida, de tal forma que al cliente se le dotaba de una tarjeta para que pudiese cargar de manera automatizada sus consumos en el hotel, contando el personal de servicios del hotel con dispositivos electrónicos, tablets, donde podían comprobar, al constar en los mismos fotografía del cliente, que no se daba uso fraudulento a dicha tarjeta de consumo interno.

Pues bien, la información en materia de protección de datos personales que la entidad reclamada facilitaba a los clientes no incluía ningún detalle sobre la recogida y utilización de la fotografía, por lo que erandesconocidas por los interesados. De hecho, ni siquiera el tratamiento de datos a que es sometida la fotografía figura en el Registro de Actividades de Tratamiento.

Por otro lado, en la fase de pruebas del procedimiento, el instructor requirió expresamente a la entidad reclamada copia de su política de privacidad, en todas sus versiones vigentes a partir del 25/05/2018 y de cualquier aviso de privacidad o informaciones adicionales, además de un detalle sobre los canales habilitados para dar a conocer esta información, y dicha entidad no aportó el documento informativo que ahora aporta con sus alegaciones a la propuesta de resolución.

Para finalizar, siendo este el motivo principal de la cuantiosa sanción, la AEPD considera que no existe un tratamiento de datos lícito, al no existir un interés legitimo, no existiendo base jurídica que lo sustente.

Si bien el hotel alega que, para evitar el uso fraudulento de la tarjeta, sus empleados contaban con la fotografía del cliente de cara a comprobar su identidad, la agencia indica la necesidad de llevar a cabo una meticulosa ponderación de derechos de cara a valorar si los intereses y derechos fundamentales del titular de los datos personales podrían prevalecer frente a los intereses legítimos del responsable cuando el tratamiento de los datos se efectúe en circunstancias tales en las que el interesado “no espere razonablemente” que se lleve a cabo un tratamiento ulterior de sus datos personales.

Según la autoridad de control, el reclamado no ha justificado este interés legítimo de forma suficiente para permitir la prueba de ponderación entre el interés del responsable y los derechos del interesado, necesaria para determinar la licitud de los tratamientos llevados a cabo. En este caso, además, no consta que la citada entidad haya realizado esa prueba de ponderación y haya informado debidamente al reclamante sobre esta base legitimadora.

Al faltar la información relativa a la prueba de ponderación, el interesado se ve privado de su derecho a conocer la base jurídica del tratamiento alegada por el responsable, y en concreto, al referirse al interés legítimo, se ve privado de su derecho a conocer cuáles son dichos intereses legítimos alegados por el responsable o de un tercero que justificarían el tratamiento sin tener en cuenta su consentimiento.

En el supuesto denunciado no existen evidencias sobre la prestación de un consentimiento válido por parte de los clientes que ampare los tratamientos de datos personales que el reclamado lleva a cabo con la fotografía de dichos clientes. Esta entidad ni siquiera informa sobre esta utilización de la fotografía, ni ha establecido ningún mecanismo para que los clientes puedan consentir esta utilización mediante un acto afirmativo separado para estas concretas operaciones de tratamiento, las cuales tampoco constan recogidas en el Registro de Actividades de Tratamiento.

Como se puede ver, la protección de datos es un complejo proceso que requiere de personal altamente especializado para poder cumplir con todas las obligaciones que supone, déjate asesorar por expertos!!

PROTECCIÓN DE DATOS HOTELES | EQUAL |

    Su nombre (requerido)

    Su e-mail (requerido)

    Teléfono de contacto. y disponibilidad

    Su mensaje

    He leido y acepto la Política de Privacidad

    Por favor, prueba que eres un humano seleccionando el corazón.

    La Agencia Española de Protección de datos ha sancionado con 3000 Euros a una empresa debido al envío de publicidad por correo electrónico sin contar con el consentimiento del destinatario de la publicidad.

    En el procedimiento sancionador PS/00434/2021, el reclamante inicia el proceso contactando con la autoridad de control, indicando estar recibiendo comunicaciones comerciales no solicitadas procedentes de la empresa reclamada a través de su dirección de e-mail, a pesar de haber hecho uso del enlace contenido en los mismos para cancelar la suscripción y respondido a uno de los mensajes solicitando la detención de los envíos.

    La agencia traslado la reclamación a la parte reclamada sin recibir respuesta, por lo que se admitió a trámite dicha reclamación, iniciándose finalmente procedimiento sancionador por presunto incumplimiento del artículo 21.1 de la LSSI.

    ¿Qué nos dice el artículo 21.1 de la LSSI?


    1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que
    previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas

    2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

    Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de
    correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha
    dirección.

    Por otra parte, el artículo 22.1 de la LSSI establece que:

    1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de
    su voluntad al remitente.

    A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que
    hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una
    dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no
    incluyan dicha dirección.

    La AEPD multa debido al envío de comunicaciones comerciales no deseadas

    La Agencia, tras valorar la documentación aportada por el reclamante, considera que ha sido vulnerada la Ley en materia de protección de datos, calificándose la infracción como leve, pudiendo ser sancionada con multa de hasta 30.000 Euros.

    Teniendo en cuenta los artículos 39bis y 40 de la LSSI en relación a la moderación de las sanciones y la graduación de la cuantía de las sanciones respectivamente, la autoridad de control decide sancionar con 3000 Euros a la empresa reclamada, poniendo de manifiesto las siguientes circunstancias agravantes :

    a) La existencia de intencionalidad, debido a la falta de diligencia como integrante del elemento subjetivo de la culpabilidad, al ser enviados tres e-mails
    comerciales sin consentimiento del reclamante y a pesar de que este se dirigió a la empresa solicitando que no se detuvieran dichos envíos y recordándole que el
    tratamiento de sus datos debía contar con su consentimiento.

    b) Plazo de tiempo durante el que se haya venido cometiendo la infracción, puesto que la entidad se ha reiterado en la conducta, continuando en el envío de las
    citadas comunicaciones entre el 07/01/2021 y 16/04/2021 a pesar de la solicitud manifestada anteriormente.

    Como vemos es realmente sencillo poder ser sancionado por no cumplir con la Ley en materia de protección de datos, haciéndose fundamental contar con un servicio que permita que nuestra empresa este totalmente adaptada al RGPD, la LOPD y a la ya mencionada LSSI.

    Equal, Abogados protección de datos en Madrid.

    La Agencia Española de Protección de datos ha multado Amazon Road Transport Spain, S.L. (“Amazon Road”) con dos millones de Euros al no cumplir el principio de licitud del tratamiento al tratar datos personales relacionados con antecedentes penales.

    Amazon Road es parte del grupo Amazon, encargándose de proporcionar distintos servicios de distribución a dicho grupo.

    La Unión General de Trabajadores fue la encargada de presentar reclamación ante la AEPD, indicando que Amazon Road estaba solicitando certificado de ausencia de antecedentes penales a candidatos a distintos puestos de trabajo.

    ¿Supone el solicitar certificado de carencia de antecedentes penales un tratamiento de datos de naturaleza penal regulado por el Reglamento General de Protección de Datos?

    La empresa reclamada alegó ante la AEPD lo siguiente : “un certificado de antecedentes penales que ponga de manifiesto que una persona concreta carece de condenas penales no recoge de manera estricta ningún dato relacionado con condenas e infracciones penales”.

    Sin embargo la AEPD no está de acuerdo con este argumento al considerar que la información contenida en un certificado de existencia de antecedentes penales o de no existencia de los mismos, así como su solicitud, supone un tratamiento de datos. La información que se está tratando es un dato relativo a condenas penales, estando vinculado con una persona física concreta.

    La AEPD multa a Amazon

    La AEPD multa a Amazon Road con una sanción de dos millones de Euros por no cumplir con el RGPD, estando en el mismo regulado el tratamiento de los datos personales de naturaleza penal.

    Dicho tratamiento de datos de naturaleza penal sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas” (art. 10 del RGPD) o “solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal” (art. 10 de la LOPDGDD). Por ello la AEPD, indicando la no existencia dentro de del derecho de una norma que permita llevar a cabo el tratamiento de datos de antecedentes penales pretendido, concluye que «no cabe, en este caso, acudir a otras bases jurídicas para legitimar el tratamiento de datos personales relativos a condenas e infracciones penales”.

    Adapta tu empresa o entidad a la LOPD, abogados expertos.

    En el procedimiento sancionador PS/00219/2021, instruido por la Agencia Española de Protección de Datos, a la CONSEJERÍA DE EDUCACIÓN del Principado
    de Asturias, titular y responsable de la página web, ***URL.1, (en adelante, “la parte reclamada”), por presunta infracción del RGPD, se apercibe a dicha entidad al no haber cumplido con el Reglamento General de Protección de Datos.

    El reclamante, en fecha 09/01/21, inició el procedimiento, indicando ante la agencia la existencia de irregularidades en cuanto al cumplimiento del RGPD por parte del titular de determinada web, siendo dicho titular la Consejería de Educación del Principado de Asturias, en su escrito expresa lo siguiente :

    “Se detectaron en la página web ***URL.1 infracciones administrativas tipificadas en el Reglamento general de protección de datos («RGPD») y en la Ley 34/2002, de 11
    de julio, de servicios de la sociedad de la información y de comercio electrónico, tanto en su política de privacidad como en la política sobre cookies»

    «Por otra parte, al acceder a la página web ***URL.1 que se denuncia, se comprueba que se accede a la dirección con protocolo de seguridad “http”, posibilitando así, que
    otros usuarios puedan interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se
    trasfiere de forma segura (encriptada) (…)”.

    Ante ello la agencia dirigió requerimiento informativo a la parte reclamada, recibiendo escrito de contestación por parte de la Consejería, en el que indican que a su entender no existe falta de adecuación de la web al RGPD en lo relativo a la política de privacidad y cookies, expresando que la web no maneja información sensible o personal de los usuarios «al tener un carácter meramente informativo para los usuarios, de las actividades desarrolladas por el Centro Integrado FP ***LOCALIDAD.1 o noticias relacionadas con la Formación Profesional».

    Por otro lado la consejería manifiesta en relación a las cookies lo siguiente :

    «Las «cookies» utilizadas por ***URL.1 no son invasivas ni nocivas, y no contienen datos de carácter personal. No obstante, se informa al usuario que navega por nuestra web que se utilizan y se le pide su aprobación, ya que puede desactivarlas siguiendo las instrucciones de su navegador.»

    La Agencia Comprueba e inicia Procedimiento Sancionador

    Recibidas las alegaciones por parte del reclamado, la agencia procede a realizar comprobaciones sobre la web de la que la Consejería es titular, constatándose :

    • En relación al tratamiento de datos personales, el hecho de que se produce una recopilación de los mismos, datos como el nombre, apellidos, email, etc., produciéndose la misma a través de formularios, siendo posible el envío de información sin necesidad de haber “leído y aceptado” la política de privacidad o aviso legal. No existe más que un botón con el mensaje de «enviar».

    • Referente a la política de privacidad, la no actualización y adecuación al Reglamento General de Protección de Datos.

    • Sobre las cookies y su política, la instalación de cookies, no necesarias para el funcionamiento de la web, tanto propias como de terceros, así como la no adaptación al modelo de capas, por otro lado, la política de cookies no informa de que cookies son instaladas ni cual es su función.

    Por todo ello la Agencia Española de Protección de Datos decide iniciar procedimiento sancionador.

    La Consejería es Apercibida

    Finalmente ,y trás recibir las pertinentes alegaciones por parte de la Consejería, habiendo adecuado la web al RGPD, la AEPD decide apercibir por :

    • Infracción del artículo 32.1) del RGPD, sancionable conforme a lo dispuesto en el art. 83 de la citada norma, respecto de la falta de seguridad en la página
      web, durante el tiempo que estuvo activo el protocolo http//, en página web en cuestión hasta su modificación.
    • Infracción del artículo 13) del RGPD, por el tiempo que estuvo sin adaptar la “Política de Privacidad”, a la nueva normativa vigente.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    El supremo ha ratificado la sanción de 40.000 Euros impuesta por la AEPD a Mutua Madrileña por enviar anuncios a un cliente que había rechazado el uso de sus datos para fines comerciales, cliente que se encontraba incluido en la lista Robinson.

    La sala tercera de lo contencioso administrativo estima que una empresa es siempre responsable última de su publicidad, incluso en el supuesto de tener subcontratado el servicio de publicación de campañas publicitarias.

    El caso en cuestión tiene su origen en la reclamación de un cliente de la aseguradora que tenía contratadas diversas pólizas, habiéndose inscrito en la lista Robinson de cara a no seguir recibiendo publicidad de la empresa. La inclusión en este servicio le blindaba frente comunicaciones publicitarias, así como frente a la participación en estudios de mercado.

    Dicho cliente había ejercido el derecho de oposición al tratamiento de sus datos personales ante la aseguradora, habiendo enviado diversas comunicaciones en las que indicaba que únicamente autorizaba el tratamiento de sus datos personales para aquellos fines imprescindibles para el desarrollo de la relación contractual.

    Pese a ello, el reclamante siguió recibiendo comunicaciones publicitarias por parte de la aseguradora, al no haber esta comunicado a la empresa encargada de la gestión publicitaria la oposición por parte del cliente al tratamiento de sus datos personales con fines publicitarios.

    Por todo ello, sentando jurisprudencia, el Supremo ratifica la sanción impuesta por la AEPD, ya que el responsable último, pese a existir una subcontratación del servicio publicitario, es la empresa aseguradora, estando obligada a adoptar toda medida que garantice la efectividad del ejercicio del derecho de oposición por parte del cliente.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    Si el trabajador tiene conocimiento de la existencia de cámaras de videovigilancia, con las que pueda estar siendo grabado en el desempeño de sus funciones en el puesto de trabajo, la empresa no está obligada a informar sobre el uso que se da a dicho sistema de videovigilancia, pudiendo ser las imágenes utilizadas en un procedimiento judicial.

    El Tribunal Supremo, en sentencia de 21 de Julio de 2021, indica que el artículo 88.1 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) de 2018, establece que en el supuesto de que se haya captado mediante sistema de videovigilancia la comisión flagrante de un acto ilícito por parte de los trabajadores, se entenderá cumplido el deber de informar siempre que el trabajador sea consciente de la existencia de dicho sistema.

    El ponente, el magistrado García-Perrote Escartín, indica que la sentencia del Tribunal Constitucional 39/2016, 3 de marzo de 2016, así lo reconoce.

    De cara a que al trabajador le conste la existencia de un sistema de videovigilancia, y en cumplimiento de la Ley en materia de protección de datos, la empresa deberá colocar un dispositivo informativo indicando la existencia de un sistema de videovigilancia, en lugar suficientemente visible, identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos.

    Adicionalmente, el magistrado, considera que en determinadas circunstancias, tal y como establece la sentencia del Tribunal Europeo de Derechos Humanos (TEDH ), en la sentencia de su Gran Sala de 17 octubre 2019 (López Ribalda II), no es preciso que la empresa indique al trabajador la existencia y localización de determinadas cámaras, sin que ello conlleve la nulidad como prueba de la grabación.

    Cuestión distinta es que, para cumplir con la normativa de protección de datos y en concreto con el deber de informar, sí se deberá facilitar a los trabajadores la finalidad o finalidades concretas de las grabaciones de cara a evitar posibles consecuencias en este ámbito.

    La Comisión de Protección de Datos (CPD) de Irlanda, ha sancionado a Whatsapp con una multa de 225 millones de Euros por falta de transparencia.

    Una opacidad mostrada tanto a la hora de informar sobre el tratamiento que da a los datos personales de usuarios y no usuarios, como a la hora de especificar que datos se transfieren entre Whatsapp y otras redes sociales del grupo como Facebook e Instagram.

    Esta multa es la segunda de mayor cuantía impuesta por el organismo regulador en aplicación del Reglamento General de Protección de Datos (RGPD) , solo habiendo sido superada por la multa impuesta a Amazon por el CNPD, autoridad de protección de datos de Luxemburgo, por valor de 746 millones de Euros.

    Whatsapp no solo ha sido multado, si no que se le ha impuesto una orden de cara a que corrija su normativa y procesos adaptándolos al RGPD.

    UN LARGO PROCESO

    La sanción es resultado de una investigación iniciada por la autoridad irlandesa en 2018, de cara a averiguar si Whatsapp cumplía con el RGPD, habiendo propuesto en un primer momento una sanción de 30-50 millones de Euros.

    Dicha propuesta, al afectar la vulneración del Reglamento a toda Europa, fue compartida con las distintas autoridades de control de diversos países europeos, mostrando estos su desacuerdo con la autoridad irlandesa.

    La principal disputa versaba sobre la gravedad y alcance del no ajuste al Reglamento por parte de Whatsapp, así como sobre la cuantía de la sanción.

    Al no existir acuerdo entre los distintos organismos reguladores se hubo de acudir al Comité Europeo de Protección de Datos, tomando este la decisión de elevar la sanción a 225 millones de Euros.

    WHATSAPP SE DEFIENDE

    Whatsapp, en un comunicado, ha indicado que la sanción se basa en el nivel de detalle de políticas vigentes hace tres años, habiendo sido su política de privacidad actualizada recientemente.

    La compañía asegura que trabaja para garantizar la máxima transparencia en la información que facilita a sus usuarios, manifestando no estar de acuerdo con la sanción, al considerarla desproporcionada.

    A lo largo de este año, tanto Facebook como Whatsapp han sido objeto de diversas polémicas en relación a la protección de datos, todo ello a causa del anuncio por parte de la aplicación de mensajería de cambios en su política de privacidad y condiciones de uso.

    Desde Equal siempre recomendamos buscar un asesoramiento experto en materia de protección de datos, de cara a cumplir con el RGPD y así evitar posibles sanciones.

    Sabemos que el deber de información nunca está excluido cuando recabamos datos de carácter personal de cualquier cliente, empleado, proveedor, etc…

    Tampoco existe exclusión cuando recibimos curriculums vitae, bien en un proceso de selección determinado, bien de manera espontánea.

    Esto, que con la normativa de protección de datos en la mano conocemos, con frecuencia pasa desapercibido y nos olvidamos de la importancia de facilitar la información contemplada en el artículo 13 del RGPD, también en este tipo de situaciones.

    Ahora, la Agencia Española de Protección de Datos nos lo viene a recordar a través de una resolución en la que acuerda sancionar a una empresa con 2.000€ precisamente por no “dar acuse de recibo” de los curriculums que recibía, y por tanto, no facilitando dicha información obligatoria.

    Y es que, si bien es el interesado quién facilita su curriculum, llevando a cabo por tanto un acto afirmativo, que es libre y voluntario, lo cual posibilita que la empresa destinataria tenga una base de legitimación para el tratamiento, al menos de inicio, lo que, insistimos, no admite excepción es el deber de informar al candidato sobre el tratamiento que haría de sus datos. En concreto, la información contemplada en el citado artículo 13 del RGPD es, entre otra, la identidad y los datos de contacto del responsable del tratamiento, los fines y la base jurídica del tratamiento, el plazo durante el cual se conservará la información recogida, y los derechos que asisten al interesado.

    En este caso concreto, el interesado accedió a una oferta de empleo y, siguiendo las instrucciones facilitadas por la empresa, envió su curriculum a través de Whatsapp.

    La empresa nunca respondió a dicho mensaje, y por tanto faltó a su deber de informar, lo que dio lugar a una reclamación por parte de este que finalizó en la mencionada sanción.

    En concreto en su resolución la AEPD entiende que la empresa había infringido los requisitos de información contenidos en el artículo 13 del Reglamento, «porque no identifica de manera apropiada a su responsable ni los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio», una información que la normativa exige que sea facilitada. Este incumplimiento del principio de transparencia o el derecho a la información del afectado, de acuerdo con el artículo 74.a) de la Ley Orgánica de Protección de Datos española constituye una «infracción leve».

    Cierto es que la sanción bien podía haber sido mayor, pero en este caso se tuvo en cuenta que la empresa sancionada no tenía reclamaciones anteriores, que es una pequeña empresa y que no buscó con su conducta buscar un beneficio propio, por lo que se “gradúa” la multa hasta esos 2.000€.

    Es importante resaltar que, al igual que ocurre en un número muy elevado de procedimientos que acaban en sanción, la empresa en cuestión tampoco respondió al requerimiento de información sobre el caso que le remitió la Agencia, lo que pone de relieve la vital importancia de, siempre y en todo caso, dar respuesta en tiempo y forma a cualquier requerimiento que podamos recibir.

    La Agencia Española de Protección de Datos ha sancionado a la cadena Cope por no gestionar de manera correcta, tal y como marca la LOPD y el RGPD, la instalación de cookies en los dispositivos utilizados por los visitantes de la web www.cope.es. La sanción asciende a 2000 Euros.

    Las sanciones impuestas por una incorrecta gestión del consentimiento de instalación de cookies están aumentando, por experiencia propia podemos afirmar que actualmente las webs que cumplen la normativa son una excepción.

    El uso de fórmulas de consentimiento tácito, el no permitir decidir al usuario que cookies pueden ser instaladas en su equipo, la redacción de una política de cookies incompleta e incluso la no existencia de banner de aviso de instalación de cookies es algo con lo que nos encontramos día a día.

    Por todo ello de manera gratuita realizamos un análisis del estado del consentimiento de instalación de cookies en tu web https://equalprotecciondedatos.com/cookies-gratis/

    La Agencia Española de Protección de Datos (AEPD) dictó, el pasado 4 de mayo de 2021, su resolución en el procedimiento PS / 00236/2020 en la que impuso dos multas por importe de 1,5 millones de euros a EDP ENERGÍA, SAU por el tratamiento de datos personales sin consentimiento del interesado.

    Se añade así una nueva sanción millonaria por parte de la Agencia en materia de protección de datos en nuestro país. Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, la AEPD ha dictado más de 650 procedimientos sancionadores basándose en dicha normativa, y sólo en el primer semestre de este año suma ya más de 20 millones de euros en multas (encabezando el ranking la sonada sanción a Vodafone por valor de 8 millones de euros).

    En el presente caso, la AEPD da inicio al procedimiento tras recibir una reclamación contra la compañía eléctrica, por haberse efectuado en nombre de la afectada la contratación de sus servicios sin su consentimiento, contratación realizada supuestamente por un representante, sin que dicha entidad pueda acreditar la existencia de tal representación. Además de esta, la Agencia había recibido ya varias reclamaciones de índole muy parecida.

    Tras recabar la documentación precisa y estudiar el procedimiento de actuación de la empresa, la Agencia declara:

    En primer lugar que no se habían adoptado medidas para comprobar la existencia de autorización para contratar o para prestar consentimiento en nombre del representado, lo cual incumple las obligaciones del artículo 25 del Reglamento General de Protección de Datos (RGPD), de establecer las medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento a fin de cumplir los requisitos del Reglamento y proteger los derechos de los interesados. Además, la Agencia estima que concurren diferentes hechos con calidad de agravantes: la naturaleza, gravedad y duración de la infracción; la intencionalidad o negligencia apreciada en la comisión de la infracción; el carácter continuado de la infracción; La alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales; la condición de gran empresa de la entidad responsable y su volumen de negocio; y el elevado volumen de datos y tratamientos que constituye el objeto del expediente

    Esta infracción se encuentra tipificada en el artículo 83.4.a) RGPD y calificada como grave a efectos de prescripción en el artículo 73.d) de la LOPDGDD. Por este hecho la Agencia impone a la compañía una multa por importe de 500.000 euros.

    Como segunda parte de la resolución, la Agencia considera que la empresa ha cometido también una infracción del principio de transparencia recogido en el artículo 13 del Reglamento, por no proporcionar información suficiente a los interesados ​​al obtener sus datos para la contratación de los servicios. Esta acción cuenta con los mismos hechos agravantes mencionados anteriormente y sumándose el elevado número de interesados, ya que la infracción afecta a todos los clientes personas físicas de la entidad.

    Este incumplimiento está tipificado en el artículo 83.5.b) RGPD y calificado como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. Tras el análisis del presente caso, la Agencia impone por esta falta una multa por importe de 1.000.000 euros.

    María Galera Meléndez, Redacción Equal.