El caso se inicia tras la reclamación de un interesado que ejerció su derecho de acceso ante la entidad sin obtener una respuesta adecuada. Ante esta situación, la AEPD estimó la reclamación y dictó una resolución en la que obligaba expresamente a la entidad a facilitar la información solicitada o, en su caso, a denegarla de forma motivada dentro de un plazo concreto.

El elemento determinante del expediente no es solo la falta inicial de respuesta, sino que la entidad ignoró completamente la resolución de la AEPD.  A pesar de haber sido notificada correctamente y de recibir requerimientos adicionales para acreditar su cumplimiento, la entidad no realizó ninguna de las actuaciones reclamadas:

-no atendió el derecho del interesado.

-no justificó su negativa.

-no respondió a la AEPD.

Estas conductas suponen un incumplimiento directo de los poderes correctivos de la AEPD, vulnerando el artículo 58.2.c) del RGPD, tipificado como infracción muy grave.

Como consecuencia, la entidad fue sancionada con una multa de 225.000 euros, reducida a 180.000 euros por pago voluntario.

IMPORTANTE

La entidad incumplió durante más de un año una resolución firme de la AEPD, pese a recibir múltiples requerimientos de cumplimiento.

La entrada Incumplir una resolución de la AEPD supone una infracción muy grave en protección de datos se publicó primero en Adaptación RGPD.

Los hechos se originan cuando la entidad reclamada creó un grupo de mensajería instantánea denominado “Medicina Estética 2”, en el que incorporó los números de teléfono de numerosos clientes, incluidos los reclamantes, permitiendo que todos los integrantes pudieran visualizar los datos personales del resto. La AEPD acreditó que el grupo fue creado sin base jurídica ni consentimiento expreso.

La autoridad de control subraya que, aunque el responsable podía tratar los datos con base en la ejecución del contrato o en su interés legítimo para promociones comerciales, estaba obligado a garantizar la confidencialidad.

La infracción reviste especial gravedad al afectar a datos de salud, categoría especial del artículo 9 del RGPD. En consecuencia, la AEPD impuso una multa de 30.000 euros y ordenó la eliminación del grupo y la implantación de sistemas de comunicación que impidan la visibilidad de los datos entre destinatarios.

IMPORTANTE 

El artículo 5.1.f del RGPD exige que los datos personales se traten garantizando su seguridad y confidencialidad, evitando accesos, comunicaciones o usos no autorizados.

La entrada Sancionada una clínica con 30.000 euros por falta de medidas de confidencialidad en sus campañas comerciales se publicó primero en Adaptación RGPD.

El reclamante denuncia que la empresa facilitó sus datos personales a los sindicatos sin su consentimiento y que posteriormente fueron publicados en los tablones de anuncios junto con los de otros empleados.

Además, señala que estos tablones son accesibles no solo para los trabajadores, sino también para otras empresas y pueden verse desde el exterior a través de una ventana. Indica que los datos podrían ser captados con una cámara de móvil desde 1,5 metros de distancia y que su dirección postal no era un dato necesario para las elecciones sindicales.

La AEPD en su resolución determina que se infringió el principio de minimización de datos, recogido en el artículo 5.1.c del RGPD, ya que se divulgaron más datos personales de los estrictamente necesarios para el proceso electoral, puesto que lo que se publicó fue el censo completo del personal laboral y no el censo electoral. Se generó, además un riesgo de acceso no autorizado, ya que terceros podían visualizar el listado desde el exterior a través de una ventana situada cerca de la ubicación del tablón de anuncios.

IMPORTANTE

La sanción impuesta fue agravada por la intencionalidad; negligencia y la vinculación de la actividad del infractor con el tratamiento de datos personales.

La entrada Sancionada una empresa de transporte de viajeros con 70.000€ por exponer datos personales excesivos se publicó primero en Adaptación RGPD.

La Agencia Española de Protección de Datos inició actuaciones de investigación tras una reclamación contra una agrupación de electores por posibles infracciones del Reglamento General de Protección de Datos (RGPD).

Se requirió a la agrupación que facilitara información esencial en relación con el deber de informar, en particular:

• Los datos identificativos del titular del blog.
• La política de privacidad y la información proporcionada según el artículo 13 del RGPD,
• El procedimiento para que los interesados ejerzan sus derechos,
• Copias de documentos clave como el Registro de Actividades de Tratamiento, el análisis de riesgos y las medidas de seguridad implantadas.

La falta de respuesta a estos requerimientos llevó a la AEPD a sancionar a la agrupación con 4.000 euros por no colaborar con la autoridad de control, incumpliendo su obligación de facilitar información relevante.

IMPORTANTE

La autoridad de control puede ordenar al responsable, encargado o su representante que proporcionen información necesaria para sus funciones de investigación.

La entrada Sancionada una agrupación de electores por incumplimiento de la normativa de protección de datos se publicó primero en Adaptación RGPD.

La reclamante manifiesta que la empresa ya había sido sancionada por la AEPD en una ocasión anterior. Aún habiendo transcurrido un largo tiempo desde su primera reclamación, la web cuestionada continuaba sin tener disponible ningún aviso legal y la información sobre la empresa seguía siendo incorrecta.

El formulario de la web de la empresa sancionada no proporcionaba información clara sobre el responsable del tratamiento cuando recogía datos personales. No existía un enlace directo a la “Política de Privacidad” o “Aviso Legal” que permitiera al usuario acceder a dicha información. El artículo 13 del RGPD exige que el responsable proporcione al interesado un fácil acceso a la información completa sobre el tratamiento de sus datos personales.

Se verificó que la entidad obligaba a los usuarios a aceptar una política de privacidad con información errónea.

La sanción ascendió a 10.000 € ya que existía un agravante debido a una sanción anterior (PS/00086/2023) por deficiencias similares en la “Política de Privacidad”.

IMPORTANTE

El principio de transparencia requiere que la información sea clara, concisa, comprensible y accesible, utilizando un lenguaje sencillo y visualizable.

La entrada Sancionada una empresa con 10.000 € por no incluir la política de privacidad en su página web se publicó primero en Adaptación RGPD.

En el proceso de investigación la AEPD requiere a la empresa reclamada la motivación de por qué no fue notificada la brecha, instándola a que realice la comunicación.

Se sanciona a la entidad con 300.000€ por no haber garantizado la confidencialidad de los datos, ya que se remitió un correo con un documento PDF con los datos de las nóminas de todos los empleados/as.

Como agravante se estimó que enviar este tipo de documentos con los datos de nombre, dirección, DNI, número de Seguridad Social, número de la cuenta bancaria y salario, entre otros, por correo electrónico, supone una vulnerabilidad en materia de seguridad, ya que, al no estar cifrados los datos, cualquier atacante podría acceder a esos datos en tránsito.

Se estableció también una sanción de 150.000€ por no haber aplicado las medidas de seguridad técnicas y organizativas para garantizar la seguridad de los datos personales. La actuación negligente del trabajador de la entidad reclamada no le exime de responsabilidad.

IMPORTANTE

Se deben proteger especialmente aquellos datos cuya difusión provoque daños y perjuicios inmediatos, por ejemplo, datos de localización o financieros.

La entrada Sancionada una empresa por enviar las nóminas de todo su personal al correo de una trabajadora se publicó primero en Adaptación RGPD.

La entidad sancionada comunicó a la División de Innovación Tecnológica de la AEPD una brecha de seguridad de datos personales, siendo ésta realizada en una fecha muy posterior al plazo legal que marca la norma de 72hrs. Se comunicó la detección de un Malware en el ordenador servidor de la clínica, que impedía el acceso al sistema informático utilizado para la recopilación de datos. La brecha afectó a la disponibilidad y confidencialidad de los datos personales entre los que se incluían datos de salud e historiales clínicos de los pacientes.

La AEPD en su labor de investigación solicitó a la sancionada el registro documentado de la brecha de seguridad, el registro de actividades de tratamiento, la comunicación a los afectados y justificación del motivo de retraso de la notificación de la brecha. Además, le solicitó el análisis de riesgos, la posible Evaluación de impacto y las medidas de seguridad implementadas antes y después de la brecha.

La sanción ascendió a 20.000€ por falta de diligencia en la notificación y no haber aplicado las medidas adecuadas para mitigar los riesgos.

IMPORTANTE

La notificación de una brecha de seguridad de datos personales debe hacerse de forma inmediata y a más tardar en las 72hrs después de conocer el incidente.

La entrada Sancionada clínica dental por no atender una brecha de seguridad de datos se publicó primero en Adaptación RGPD.

El reclamante en su escrito de reclamación manifestó que envió un correo electrónico a la dirección adecuada para el ejercicio de derechos. Fue contestado por el delegado de protección de datos indicándole que sus datos habían sido eliminados, aunque siguió recibiendo información comercial a su correo electrónico.

El reclamante a pesar de haber recibido un correo con acuse de recibo indicándole la baja se le envío un nuevo correo comercial. La Agencia en su resolución consideró que la naturaleza de la infracción fue muy grave, puesto que los datos personales no habían sido borrados de una forma eficaz.

El centro de formación fue sancionado con 5.000€ por el derecho de supresión, recogido en el articulo 71 del RGPD. Además, se ordenó al responsable del tratamiento, que, en el plazo de un mes, notificase a la Agencia la adopción de medidas consistentes en el borrado de todos los datos personales que posea del reclamado.

La parte reclamada procedió al pago de 3.000€ haciendo uso de las reducciones de pronto pago y reconocimiento de la responsabilidad.

IMPORTANTE
El responsable del tratamiento debe actuar de forma diligente y sin dilación indebida ante el ejercicio de los derechos por parte de los interesados/as.

La entrada Sancionado con 5.000€ un centro de formación por no atender debidamente un derecho de supresión se publicó primero en Adaptación RGPD.

La parte denunciante manifestó que en las redes sociales del medio de comunicación sancionado se había publicado un vídeo donde se visualizaba a un grupo de 3 hombres y una mujer propinando una agresión a un hombre, siendo posible ser reconocidos. La AEPD inició de oficio actuaciones previas de investigación para acreditar estos hechos.

En la resolución de la AEPD se hace referencia a la pugna entre los Derechos Fundamentales a la Libertad de Información en relación con el Derecho Fundamental a la Protección de Datos Personales. En este sentido, la AEPD, tomando en cuenta lo dispuesto en las Sentencias referidas de la Sala Primera de lo Civil, indica que, existe una clara referencia al tratamiento excesivo de datos personales para suministrar la información, considerándolos innecesarios. En la resolución no se está poniendo en cuestión la libertad de información de los medios de comunicación sino la necesaria ponderación con el derecho a la protección de datos personales. En el caso en concreto, la minimización de datos podría haberse resuelto con el pixelado de las caras como medida de seguridad.

IMPORTANTE

La AEPD en las actuaciones previas de investigación requirió a la parte reclamada como medida cautelar la retirada inmediata del contenido de las imágenes publicadas para reestablecer y garantizar los derechos y libertades de los afectados.

La entrada Sancionado un medio de comunicación por no cumplir con el principio de minimización de datos se publicó primero en Adaptación RGPD.

La parte reclamante manifestó en su escrito de reclamación que los datos de su número de apartamento y el importe de las deudas contraídas con la comunidad de vecinos se había expuesto en el tablón de anuncios, al que podía acceder cualquier persona que entrara en el edificio. Para ello se aportó como documentación relevante una fotografía del tablón de anuncios donde aparecen sus datos personales.

La AEPD sancionó a la Comunidad de bienes con una multa administrativa de 1.000€ por la vulneración de dos artículos de la normativa:

• Infracción del artículo 5.1.f (RGPD); los datos se han de tratar garantizando una seguridad adecuada para evitar un tratamiento no autorizado garantizado la integridad y confidencialidad.
• Infracción del artículo 32 (RGPD); el responsable del tratamiento no aplicó las medidas de seguridad adecuadas para garantizar la confidencialidad de los datos personales tratados por la Comunidad de propietarios.

IMPORTANTE

La AEPD en su escrito de reclamación ordena a la Comunidad de propietarios que retire el documento del tablón de anuncios y que disponga de un procedimiento para comunicar anuncios según la Ley de Propiedad Horizontal

La entrada Sancionada una Comunidad de propietarios por publicar datos personales de morosos en el tablón de anuncios se publicó primero en Adaptación RGPD.