El caso se inicia tras la reclamación de un interesado que ejerció su derecho de acceso ante la entidad sin obtener una respuesta adecuada. Ante esta situación, la AEPD estimó la reclamación y dictó una resolución en la que obligaba expresamente a la entidad a facilitar la información solicitada o, en su caso, a denegarla de forma motivada dentro de un plazo concreto.

El elemento determinante del expediente no es solo la falta inicial de respuesta, sino que la entidad ignoró completamente la resolución de la AEPD.  A pesar de haber sido notificada correctamente y de recibir requerimientos adicionales para acreditar su cumplimiento, la entidad no realizó ninguna de las actuaciones reclamadas:

-no atendió el derecho del interesado.

-no justificó su negativa.

-no respondió a la AEPD.

Estas conductas suponen un incumplimiento directo de los poderes correctivos de la AEPD, vulnerando el artículo 58.2.c) del RGPD, tipificado como infracción muy grave.

Como consecuencia, la entidad fue sancionada con una multa de 225.000 euros, reducida a 180.000 euros por pago voluntario.

IMPORTANTE

La entidad incumplió durante más de un año una resolución firme de la AEPD, pese a recibir múltiples requerimientos de cumplimiento.

La entrada Incumplir una resolución de la AEPD supone una infracción muy grave en protección de datos se publicó primero en Adaptación RGPD.

La reclamación, presentada inicialmente ante la autoridad de control sueca y posteriormente trasladada a la AEPD por su carácter transfronterizo, denunciaba la exposición indebida de datos personales en un complejo hotelero.

En concreto, se puso de manifiesto que el personal de seguridad, durante las labores de control de acceso a la comunidad de propietarios y al hotel, mantenía a la vista listados impresos con información personal de propietarios y huéspedes (nombre, apellidos, país, DNI, pasaporte) quedando accesibles a terceros y pudiendo incluso ser fotografiadas.

Asimismo, quedó acreditado que la empresa de seguridad actuaba como encargada del tratamiento, bajo las instrucciones de la gestora hotelera, responsable del tratamiento en su condición de administradora de la comunidad. En el expediente se concluyó que la gestora del hotel no había implantado medidas técnicas y organizativas adecuadas para garantizar la confidencialidad de la información.

La conducta fue calificada como vulneración del principio de integridad y confidencialidad del artículo 5.1.f) del RGPD, imponiéndose una sanción económica de 40.000 euros y la obligación de adoptar medidas correctivas.

IMPORTANTE

La responsabilidad del tratamiento incluye el control efectivo sobre los encargados y la adopción de medidas reales, no meramente formales, para garantizar la confidencialidad de los datos personales.

La entrada Multada una empresa hotelera con 40.000 euros por dejar datos personales a la vista en el control de accesos se publicó primero en Adaptación RGPD.

La denuncia fue formulada por la representación legal de los trabajadores, en concreto, se denunciaba que la entidad había solicitado al personal laboral sus números de teléfono móviles personales y otros datos identificativos, sin proporcionar información adecuada ni recabar consentimiento, para utilizarlos en el acceso a herramientas informáticas con la finalidad de doble factor de autenticación.

Los empleados comenzaron a recibir en sus teléfonos personales mensajes con credenciales de acceso a sistemas corporativos del cliente, deduciéndose que se habían comunicado dichos datos sin base jurídica válida y sin ofrecer alternativas menos intrusivas, como el uso de medios corporativos. Asimismo, se alegó la inexistencia de información clara sobre la transferencia internacional de datos y omitir el informe desfavorable del Delegado de Protección de Datos sobre esta práctica.

La Agencia concluyó que dicho tratamiento no era necesario para la ejecución del contrato laboral y que vulneraba el principio de licitud del artículo 5.1.a) del RGPD. La multa administrativa alcanzó los 80.000€.

IMPORTANTE

La conducta fue calificada como infracción muy grave, imponiéndose una sanción, junto con la obligación de cesar en el uso de teléfonos personales y adoptar medidas correctivas.

La entrada Sancionada una entidad con 80.000€ por la cesión ilícita de datos de empleados a terceros y uso de su teléfono personal se publicó primero en Adaptación RGPD.

Los hechos se originan cuando la entidad reclamada creó un grupo de mensajería instantánea denominado “Medicina Estética 2”, en el que incorporó los números de teléfono de numerosos clientes, incluidos los reclamantes, permitiendo que todos los integrantes pudieran visualizar los datos personales del resto. La AEPD acreditó que el grupo fue creado sin base jurídica ni consentimiento expreso.

La autoridad de control subraya que, aunque el responsable podía tratar los datos con base en la ejecución del contrato o en su interés legítimo para promociones comerciales, estaba obligado a garantizar la confidencialidad.

La infracción reviste especial gravedad al afectar a datos de salud, categoría especial del artículo 9 del RGPD. En consecuencia, la AEPD impuso una multa de 30.000 euros y ordenó la eliminación del grupo y la implantación de sistemas de comunicación que impidan la visibilidad de los datos entre destinatarios.

IMPORTANTE 

El artículo 5.1.f del RGPD exige que los datos personales se traten garantizando su seguridad y confidencialidad, evitando accesos, comunicaciones o usos no autorizados.

La entrada Sancionada una clínica con 30.000 euros por falta de medidas de confidencialidad en sus campañas comerciales se publicó primero en Adaptación RGPD.

El cliente presentó una reclamación ante la AEPD en la que alegaba que, al registrarse, se le exigió el escaneo completo de su DNI, ante su negativa, el personal copió manualmente sus datos personales.

En el proceso de investigación, la AEPD comprobó que el establecimiento llevaba a cabo el escaneo íntegro de los documentos de identidad de los huéspedes, conservando imágenes con datos que no son necesarios, como la fotografía, número de soporte o firma, alegando el cumplimiento del Real Decreto 933/2021 sobre registro documental de viajeros. Este Real Decreto solamente obliga a recabar determinados datos, sin exigir la copia completa.

La Agencia concluyó que se vulneró el principio de minimización de datos (art. 5.1.c del RGPD), puesto que trató información excesiva para el fin perseguido, además el procedimiento carecía de proporcionalidad, ya que existían medios menos intrusivos, como por ejemplo la verificación visual.

En la resolución, se le indica, además, que debe modificar su sistema de registro y eliminar los documentos de identidad escaneados almacenados en su sistema.

IMPORTANTE

Se deberán evitar tratamientos innecesarios, limitar los datos recabados a lo estrictamente necesario y garantizar que sean pertinentes y justificables para la finalidad del tratamiento.

La entrada Sancionado un establecimiento hotelero con 9.000€ por el escaneado del DNI de los huéspedes se publicó primero en Adaptación RGPD.

El reclamante denuncia que la empresa facilitó sus datos personales a los sindicatos sin su consentimiento y que posteriormente fueron publicados en los tablones de anuncios junto con los de otros empleados.

Además, señala que estos tablones son accesibles no solo para los trabajadores, sino también para otras empresas y pueden verse desde el exterior a través de una ventana. Indica que los datos podrían ser captados con una cámara de móvil desde 1,5 metros de distancia y que su dirección postal no era un dato necesario para las elecciones sindicales.

La AEPD en su resolución determina que se infringió el principio de minimización de datos, recogido en el artículo 5.1.c del RGPD, ya que se divulgaron más datos personales de los estrictamente necesarios para el proceso electoral, puesto que lo que se publicó fue el censo completo del personal laboral y no el censo electoral. Se generó, además un riesgo de acceso no autorizado, ya que terceros podían visualizar el listado desde el exterior a través de una ventana situada cerca de la ubicación del tablón de anuncios.

IMPORTANTE

La sanción impuesta fue agravada por la intencionalidad; negligencia y la vinculación de la actividad del infractor con el tratamiento de datos personales.

La entrada Sancionada una empresa de transporte de viajeros con 70.000€ por exponer datos personales excesivos se publicó primero en Adaptación RGPD.

La Agencia Española de Protección de Datos recibió una reclamación por parte de una persona que alegaba, según el extracto de su tarjeta, de noviembre de 2021, que se habían confirmado dos retiradas de efectivo y dos pagos en Vigo realizados sin su autorización ni consentimiento, infringiendo la normativa de protección de datos personales.

Para realizar estos actos, el suplantador accedió al servicio de atención telefónica y modificó el número de teléfono móvil asociado al reclamante. Este cambio requería conocer datos, como nombre completo, DNI o tarjeta de residencia, fecha de nacimiento, domicilio y teléfono. Estos datos, aunque confidenciales, pueden ser relativamente accesibles para terceros malintencionados.

La investigación verificó que el suplantador alteró el número de contacto del reclamante sin su autorización, eliminando el número original y asignando otro. Este acto careció de cualquier legitimación prevista en el artículo 6.1 del RGPD, lo que supone un tratamiento ilícito de datos personales y una vulneración grave de los principios establecidos en la normativa europea de protección de datos.

IMPORTANTE

La sanción impuesta fue agravada por la intencionalidad; negligencia y la vinculación de la actividad del infractor con el tratamiento de datos personales.

La aplicación de medidas de seguridad técnicas y organizativas minimizan los riesgos de falta de confidencialidad, disponibilidad y tratamiento ilícito en los datos personales.

La entrada Sancionada una entidad de crédito por un supuesto de suplantación de identidad se publicó primero en Adaptación RGPD.

La Agencia Española de Protección de Datos inició actuaciones de investigación tras una reclamación contra una agrupación de electores por posibles infracciones del Reglamento General de Protección de Datos (RGPD).

Se requirió a la agrupación que facilitara información esencial en relación con el deber de informar, en particular:

• Los datos identificativos del titular del blog.
• La política de privacidad y la información proporcionada según el artículo 13 del RGPD,
• El procedimiento para que los interesados ejerzan sus derechos,
• Copias de documentos clave como el Registro de Actividades de Tratamiento, el análisis de riesgos y las medidas de seguridad implantadas.

La falta de respuesta a estos requerimientos llevó a la AEPD a sancionar a la agrupación con 4.000 euros por no colaborar con la autoridad de control, incumpliendo su obligación de facilitar información relevante.

IMPORTANTE

La autoridad de control puede ordenar al responsable, encargado o su representante que proporcionen información necesaria para sus funciones de investigación.

La entrada Sancionada una agrupación de electores por incumplimiento de la normativa de protección de datos se publicó primero en Adaptación RGPD.

La reclamante manifiesta que la empresa ya había sido sancionada por la AEPD en una ocasión anterior. Aún habiendo transcurrido un largo tiempo desde su primera reclamación, la web cuestionada continuaba sin tener disponible ningún aviso legal y la información sobre la empresa seguía siendo incorrecta.

El formulario de la web de la empresa sancionada no proporcionaba información clara sobre el responsable del tratamiento cuando recogía datos personales. No existía un enlace directo a la “Política de Privacidad” o “Aviso Legal” que permitiera al usuario acceder a dicha información. El artículo 13 del RGPD exige que el responsable proporcione al interesado un fácil acceso a la información completa sobre el tratamiento de sus datos personales.

Se verificó que la entidad obligaba a los usuarios a aceptar una política de privacidad con información errónea.

La sanción ascendió a 10.000 € ya que existía un agravante debido a una sanción anterior (PS/00086/2023) por deficiencias similares en la “Política de Privacidad”.

IMPORTANTE

El principio de transparencia requiere que la información sea clara, concisa, comprensible y accesible, utilizando un lenguaje sencillo y visualizable.

La entrada Sancionada una empresa con 10.000 € por no incluir la política de privacidad en su página web se publicó primero en Adaptación RGPD.

En el proceso de investigación la AEPD requiere a la empresa reclamada la motivación de por qué no fue notificada la brecha, instándola a que realice la comunicación.

Se sanciona a la entidad con 300.000€ por no haber garantizado la confidencialidad de los datos, ya que se remitió un correo con un documento PDF con los datos de las nóminas de todos los empleados/as.

Como agravante se estimó que enviar este tipo de documentos con los datos de nombre, dirección, DNI, número de Seguridad Social, número de la cuenta bancaria y salario, entre otros, por correo electrónico, supone una vulnerabilidad en materia de seguridad, ya que, al no estar cifrados los datos, cualquier atacante podría acceder a esos datos en tránsito.

Se estableció también una sanción de 150.000€ por no haber aplicado las medidas de seguridad técnicas y organizativas para garantizar la seguridad de los datos personales. La actuación negligente del trabajador de la entidad reclamada no le exime de responsabilidad.

IMPORTANTE

Se deben proteger especialmente aquellos datos cuya difusión provoque daños y perjuicios inmediatos, por ejemplo, datos de localización o financieros.

La entrada Sancionada una empresa por enviar las nóminas de todo su personal al correo de una trabajadora se publicó primero en Adaptación RGPD.