La reclamación, presentada inicialmente ante la autoridad de control sueca y posteriormente trasladada a la AEPD por su carácter transfronterizo, denunciaba la exposición indebida de datos personales en un complejo hotelero.

En concreto, se puso de manifiesto que el personal de seguridad, durante las labores de control de acceso a la comunidad de propietarios y al hotel, mantenía a la vista listados impresos con información personal de propietarios y huéspedes (nombre, apellidos, país, DNI, pasaporte) quedando accesibles a terceros y pudiendo incluso ser fotografiadas.

Asimismo, quedó acreditado que la empresa de seguridad actuaba como encargada del tratamiento, bajo las instrucciones de la gestora hotelera, responsable del tratamiento en su condición de administradora de la comunidad. En el expediente se concluyó que la gestora del hotel no había implantado medidas técnicas y organizativas adecuadas para garantizar la confidencialidad de la información.

La conducta fue calificada como vulneración del principio de integridad y confidencialidad del artículo 5.1.f) del RGPD, imponiéndose una sanción económica de 40.000 euros y la obligación de adoptar medidas correctivas.

IMPORTANTE

La responsabilidad del tratamiento incluye el control efectivo sobre los encargados y la adopción de medidas reales, no meramente formales, para garantizar la confidencialidad de los datos personales.

La entrada Multada una empresa hotelera con 40.000 euros por dejar datos personales a la vista en el control de accesos se publicó primero en Adaptación RGPD.

La denuncia fue formulada por la representación legal de los trabajadores, en concreto, se denunciaba que la entidad había solicitado al personal laboral sus números de teléfono móviles personales y otros datos identificativos, sin proporcionar información adecuada ni recabar consentimiento, para utilizarlos en el acceso a herramientas informáticas con la finalidad de doble factor de autenticación.

Los empleados comenzaron a recibir en sus teléfonos personales mensajes con credenciales de acceso a sistemas corporativos del cliente, deduciéndose que se habían comunicado dichos datos sin base jurídica válida y sin ofrecer alternativas menos intrusivas, como el uso de medios corporativos. Asimismo, se alegó la inexistencia de información clara sobre la transferencia internacional de datos y omitir el informe desfavorable del Delegado de Protección de Datos sobre esta práctica.

La Agencia concluyó que dicho tratamiento no era necesario para la ejecución del contrato laboral y que vulneraba el principio de licitud del artículo 5.1.a) del RGPD. La multa administrativa alcanzó los 80.000€.

IMPORTANTE

La conducta fue calificada como infracción muy grave, imponiéndose una sanción, junto con la obligación de cesar en el uso de teléfonos personales y adoptar medidas correctivas.

La entrada Sancionada una entidad con 80.000€ por la cesión ilícita de datos de empleados a terceros y uso de su teléfono personal se publicó primero en Adaptación RGPD.

El cliente presentó una reclamación ante la AEPD en la que alegaba que, al registrarse, se le exigió el escaneo completo de su DNI, ante su negativa, el personal copió manualmente sus datos personales.

En el proceso de investigación, la AEPD comprobó que el establecimiento llevaba a cabo el escaneo íntegro de los documentos de identidad de los huéspedes, conservando imágenes con datos que no son necesarios, como la fotografía, número de soporte o firma, alegando el cumplimiento del Real Decreto 933/2021 sobre registro documental de viajeros. Este Real Decreto solamente obliga a recabar determinados datos, sin exigir la copia completa.

La Agencia concluyó que se vulneró el principio de minimización de datos (art. 5.1.c del RGPD), puesto que trató información excesiva para el fin perseguido, además el procedimiento carecía de proporcionalidad, ya que existían medios menos intrusivos, como por ejemplo la verificación visual.

En la resolución, se le indica, además, que debe modificar su sistema de registro y eliminar los documentos de identidad escaneados almacenados en su sistema.

IMPORTANTE

Se deberán evitar tratamientos innecesarios, limitar los datos recabados a lo estrictamente necesario y garantizar que sean pertinentes y justificables para la finalidad del tratamiento.

La entrada Sancionado un establecimiento hotelero con 9.000€ por el escaneado del DNI de los huéspedes se publicó primero en Adaptación RGPD.

La Agencia Española de Protección de Datos recibió una reclamación por parte de una persona que alegaba, según el extracto de su tarjeta, de noviembre de 2021, que se habían confirmado dos retiradas de efectivo y dos pagos en Vigo realizados sin su autorización ni consentimiento, infringiendo la normativa de protección de datos personales.

Para realizar estos actos, el suplantador accedió al servicio de atención telefónica y modificó el número de teléfono móvil asociado al reclamante. Este cambio requería conocer datos, como nombre completo, DNI o tarjeta de residencia, fecha de nacimiento, domicilio y teléfono. Estos datos, aunque confidenciales, pueden ser relativamente accesibles para terceros malintencionados.

La investigación verificó que el suplantador alteró el número de contacto del reclamante sin su autorización, eliminando el número original y asignando otro. Este acto careció de cualquier legitimación prevista en el artículo 6.1 del RGPD, lo que supone un tratamiento ilícito de datos personales y una vulneración grave de los principios establecidos en la normativa europea de protección de datos.

IMPORTANTE

La sanción impuesta fue agravada por la intencionalidad; negligencia y la vinculación de la actividad del infractor con el tratamiento de datos personales.

La aplicación de medidas de seguridad técnicas y organizativas minimizan los riesgos de falta de confidencialidad, disponibilidad y tratamiento ilícito en los datos personales.

La entrada Sancionada una entidad de crédito por un supuesto de suplantación de identidad se publicó primero en Adaptación RGPD.

La trabajadora interpuso una reclamación ante la AEPD puesto que se había difundido un vídeo que habían captado las cámaras de videovigilancia en el grupo de Wechat de la empresa.

En este vídeo, que se envío a todos los empleados/as, puede verse a una persona abandonando su puesto de trabajo y el momento en el que regresa. La persona que compartió el video fue la encargada, por considerar que el tiempo en que estuvo ausente de su puesto de trabajo era excesivo y lo quiso utilizar de evidencia para el resto de la plantilla.

La AEPD, en su resolución, considera que la difusión del vídeo no tenía ningún fundamento jurídico lo que supuso una vulneración de la confidencialidad de los datos personales de la trabajadora, así como del resto de empleados de la línea de producción visibles en la grabación.

Se considera como agravante la difusión ilícita en el Chat de la empresa al menos a 51 empleados/as. La AEPD estableció una sanción de multa administrativa que alcanzó los 70.000 € por no haber garantizado una seguridad adecuada de los datos personales.

IMPORTANTE

La falta de medidas de seguridad por parte del responsable constituye una infracción del RGPD, afectando gravemente a la privacidad de los interesados.

La entrada Sanción por difundir indebidamente un vídeo de una trabajadora en un Chat de empresa. se publicó primero en Adaptación RGPD.

La parte reclamante manifestó en su escrito de reclamación que los datos de su número de apartamento y el importe de las deudas contraídas con la comunidad de vecinos se había expuesto en el tablón de anuncios, al que podía acceder cualquier persona que entrara en el edificio. Para ello se aportó como documentación relevante una fotografía del tablón de anuncios donde aparecen sus datos personales.

La AEPD sancionó a la Comunidad de bienes con una multa administrativa de 1.000€ por la vulneración de dos artículos de la normativa:

• Infracción del artículo 5.1.f (RGPD); los datos se han de tratar garantizando una seguridad adecuada para evitar un tratamiento no autorizado garantizado la integridad y confidencialidad.
• Infracción del artículo 32 (RGPD); el responsable del tratamiento no aplicó las medidas de seguridad adecuadas para garantizar la confidencialidad de los datos personales tratados por la Comunidad de propietarios.

IMPORTANTE

La AEPD en su escrito de reclamación ordena a la Comunidad de propietarios que retire el documento del tablón de anuncios y que disponga de un procedimiento para comunicar anuncios según la Ley de Propiedad Horizontal

La entrada Sancionada una Comunidad de propietarios por publicar datos personales de morosos en el tablón de anuncios se publicó primero en Adaptación RGPD.

El caso se originó en Bélgica, donde la Comisión de Protección de la Privacidad (CPP) impuso una multa de 10.000 euros a una asociación sin ánimo de lucro que gestionaba una base de datos con información sobre los miembros de una orden religiosa. La CPP consideró que la asociación había incumplido el Reglamento General de Protección de Datos (RGPD) al no informar adecuadamente a los interesados sobre el tratamiento de sus datos y al no obtener su consentimiento expreso.

La asociación recurrió la sanción ante los tribunales belgas, alegando que no había actuado con intención o negligencia, sino que se había limitado a seguir las instrucciones de la orden religiosa, que era la verdadera responsable del tratamiento. Además, afirmó que la multa era excesiva y desproporcionada, teniendo en cuenta que se trataba de una entidad sin fines lucrativos y que el tratamiento de datos no tenía fines comerciales ni causaba perjuicios a los afectados.

El tribunal belga planteó varias cuestiones prejudiciales al TJUE, entre ellas si el RGPD permite imponer sanciones administrativas por infracciones leves o si es necesario probar que el responsable del tratamiento actuó con culpa. También preguntó si el RGPD exige que la infracción sea atribuida previamente a una persona física concreta cuando se trata de una persona jurídica.

El TJUE respondió que el RGPD establece un sistema gradual y proporcionado de sanciones administrativas, que debe tener en cuenta las circunstancias del caso y el principio de culpabilidad. Esto significa que no puede sancionarse al responsable del tratamiento si no se demuestra que la infracción fue cometida de forma intencionada o negligente. Tratándose de una persona jurídica, no puede exigirse que la infracción haya sido imputada previamente a una persona física determinada, pero sí debe quedar acreditado que el órgano competente de la entidad adoptó o toleró la conducta infractora.

La sentencia del TJUE supone un importante límite al poder sancionador de las autoridades de protección de datos, que deberán motivar adecuadamente sus decisiones y probar la existencia de culpa en el responsable del tratamiento. Asimismo, implica un mayor grado de seguridad jurídica para los operadores económicos y sociales que tratan datos personales, que podrán defenderse mejor ante posibles sanciones injustificadas o desproporcionadas.

La entrada La UE pone coto a las multas por protección de datos solo se puede sancionar si existe culpa se publicó primero en Adaptación RGPD.

Uno de los principios relativos al tratamiento que se recoge en el artículo 5 del RGPD es el principio de integridad y confidencialidad. Los datos tienen que ser tratados de forma que se garantice una seguridad adecuada de datos personales incluyendo la protección contra el tratamiento no autorizado o ilícito.

En este caso la reclamante solicitó a la asesoría fiscal un justificante de las gestiones y documentos presentados ante la Agencia Tributaria. El justificante entregado contenía un documento electrónico emitido por la Agencia Tributaria que hacía referencia a otro administrado, con el código seguro de verificación se pudo acceder a datos personales que no correspondían a la parte reclamante. Por esta causa, la AEPD sancionó a la reclamada con la cantidad de 2.000 €. Además, en el momento de producirse la brecha, las medidas de seguridad de que disponía la parte reclamada eran insuficientes para garantizar la confidencialidad de los datos personales. Se le sanciona con 1.000 € por la falta de medidas de seguridad apropiadas.

IMPORTANTE

El responsable y encargado del tratamiento deben aplicar las medidas de seguridad técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales.

La entrada Sancionada una asesoría fiscal por falta de confidencialidad en el tratamiento de datos personales se publicó primero en Adaptación RGPD.

La madre de la menor presentó una reclamación ante la AEPD por la publicación de unas imágenes de su hija en la red social de Instagram. La menor había acudido a una fiesta de cumpleaños organizada en el establecimiento de la empresa sancionada.

La reclamante en su escrito de reclamación manifestó que contactó con el autor de la publicación de las imágenes a través del servicio de mensajería proporcionado por el prestador del servicio, para que se eliminara la publicación o se pixelara la cara de los menores. No recibió respuesta y la publicación estuvo disponible 24hrs.

La empresa reclamada alegó en su escrito que la petición de supresión no se hizo por los cauces adecuados por lo que no tuvieron conocimiento de dicha solicitud.

La AEPD le impone una sanción de 10.000 € por el tratamiento de datos personales sin la legitimación adecuada. No consta en ningún documento acreditado que la entidad reclamada hubiera solicitado el consentimiento a los progenitores, en el caso de los menores de 14 años para la publicación y difusión de imágenes en la RR.SS.

IMPORTANTE

Se considera una infracción muy grave el tratamiento de datos personales sin que concurran alguna de las condiciones de licitud del tratamiento establecidas en la normativa.

La entrada Sancionada con 10.000 € una organizadora de fiestas infantiles por publicar fotos de menores en redes sociales se publicó primero en Adaptación RGPD.

La reclamación, la interpuso la madre de la menor que aparecía en las imágenes publicadas en las redes sociales del Club. El Club no tenía el consentimiento expreso de los progenitores de la menor, para poder realizar el tratamiento de las imágenes y su difusión en Internet.

La AEPD admitió a trámite la reclamación y le dio traslado a la parte reclamada para que procediera a su análisis e informara a la AEPD de las actuaciones realizadas para adecuarse a los requisitos previstos en la normativa de protección de datos. La parte reclamada no envió ninguna alegación para su defensa.

En relación con el presente caso, no consta ninguna prueba acreditativa de que se contara con el consentimiento u otra base de legitimación que permitiera el tratamiento de los datos de la hija menor de la reclamante, para su publicación en las mencionadas redes sociales del Club.

El importe de la sanción ascendió a 5.000 euros. El Club aplicó la reducción de la sanción por reconocimiento de responsabilidad y pronto pago, quedando finalmente en 3.000 €.

IMPORTANTE

Se considera circunstancia agravante la categoría de datos de carácter personal: datos de menores sometidos a especial protección.

La entrada Sancionado un Club deportivo por publicar imágenes de un partido en su perfil de Facebook e Instagram se publicó primero en Adaptación RGPD.