Resoluciones Relevantes Abril 2025
Procedimiento: PS-00478- 2023.pdf
Multa de 1.000 euros por recabar información por correo electrónico y no facilitar información del tratamiento
• Arts Afectados: Art. 13 RGPD (Información al interesado)• Resolución: 1.000 euros
01650ABR2025 - Información al interesado – Correo electrónico -
La reclamante envía un correo electrónico a la entidad PROSULTING SLNE por recomendación de un compañero suyo del trabajo, delegado sindical, de quien ha recibido la dirección de correo electrónico, así como la información. El objetivo era obtener una beca de formación para el curso de Director de Seguridad, así como para el curso de hacking informático. Encarga a PROSULTING, la gestión de la subvención y solicita una plaza para los cursos indicados, adjuntándole formulario firmado para la Convocatoria, copia del DNI y encabezamiento de la nómina. Posteriormente hay una serie de mensajes en que PROSULTING informa reiteradamente a la reclamante de plazos, requisitos y documentos necesarios para acceder al curso subvencionado por el SEPE, instando a la reclamante a tener preparada la documentación para el momento oportuno. Con posterioridad, por parte de PROSULTING, y ante la imposibilidad inicial de ofrecer el curso gratuito que subvenciona el SEPE al 100%, ofrece su curso propio con un descuento del 40% sobre el precio oficial, para aquellos participantes que no reúnen los requisitos del reglamento. Posteriormente PROSULTING vuelve a solicitar a la reclamante justamente la misma documentación ya remitida. En ninguna de las comunicaciones dirigidas a la reclamante, se informaba sobre los extremos que exige el art 13 RGPD. PROSULTING, en su condición de entidad educativa, recaba datos personales a través de los formularios de contacto y de suscripción disponibles en la página web, así como a través de correos electrónicos. Sin perjuicio de que PROSULTING informe también en sus correos a la parte reclamante de las subvenciones y cursos del SEPE, el contenido principal de la información remitida es la promoción de sus cursos propios.
Si bien la reclamante remite, a iniciativa propia, una solicitud firmada con la documentación identificativa necesaria a PROSULTING, para que tramite en su nombre una subvención del SEPE y para la participación en el curso de formación de Director de Seguridad, PROSULTING facilita, por su parte, a la reclamante información de modo reiterado sobre el estado el procedimiento de concesión de la subvención del SEPE, en varios correos posteriores entre febrero y junio de 2023, pero el objeto principal de las comunicaciones remitidas sigue siendo promocionar sus propios cursos. La reclamante manifiesta que “en ningún momento he sido informada de quién se hace responsable de los datos, a quién puedo dirigirme y sobre cuáles son los datos identificativos de la empresa”, indicando que “Solo dispongo de un enlace web de una empresa sin actividad en la web desde 2022”. Revisado el contenido del enlace, se pudo comprobar que la web no estaba operativa. Tras varias diligencias de investigación por la AEPD se obtienen extractos de la política de privacidad del sitio web, y se observa que en la información facilitada no aparece referencia alguna ni a la página web, ni información en los correos electrónicos aportados, que permita a la reclamante consultar y asegurarse del cumplimiento del RGPD, y, en particular, de la totalidad de la información prevista por su artículo 13, cuando se recaban datos del interesado. En todo caso, entiende la AEPD que no es admisible que el interesado tenga que realizar ninguna búsqueda, como la realizada por la Agencia, para acceder a la política de privacidad de PROSULTING.
Procedimiento: PS-00188- 2024.pdf
La AEPD sanciona a un concesionario por no disponer de cláusula informativa en el contrato
• Arts Afectados: Art. 13 RGPD (Información al interesado)• Resolución: 5.000 euros
01651ABR2025 - Información al interesado – Concesionarios -
La reclamante manifiesta que en fecha 20 de abril de 2023 celebró un contrato de compraventa de un vehículo que adquirió a PALANCAMAR, aportando para ello sus datos personales y sin que se le informara sobre el tratamiento de sus datos. Junto a la notificación se aporta documentación relativa al contrato de compraventa y copia de factura por adquisición del vehículo, en concreto un modelo de contrato de arras, impreso que ha sido cumplimentado de forma manuscrita incorporando en el documento los datos de la reclamante, en concreto, nombre, apellidos, NIF, domicilio, así como el modelo del vehículo, y su número de matrícula. También se aporta el contrato de compraventa del vehículo, para lo cual se utilizó un contrato tipo adquirido en un estanco, por el importe de tres euros, donde se indican, nuevamente los datos de la reclamante y del vehículo objeto de compraventa.
En el presente caso, no consta ni en el contrato de compraventa, ni en la factura facilitada a la reclamante tras la adquisición del vehículo, ni en el contrato de arras figura la información que el artículo 13 del RGPD exige al responsable del tratamiento en el momento de obtención de los datos personales, como identidad y datos del responsable, el plazo durante el cual conservarán los datos personales, o el derecho a presentar una reclamación ante la autoridad de control.
Habida cuenta que en el presente caso no se han formulado alegaciones al acuerdo de inicio del procedimiento sancionador, y conteniendo el mismo los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida y la sanción que podría imponerse, el mismo es considerado propuesta de resolución
Procedimiento: PS-00579- 2023.pdf
70.000 euros al BBVA por la divulgación de datos de un exempleado
• Arts Afectados: Art. 32 RGPD (Medidas de seguridad)• Resolución: 70.000 euros
01653ABR2025 - Medidas de seguridad – Entidades Bancarias -
Por parte del reclamante A.A.A., manifiesta que un empleado de BBVA facilitó a varias personas, a través de un mensaje de correo electrónico, información bancaria relativa a su persona sin su consentimiento. Dicho empleado no estaba autorizado a acceder a dicha información, ya que el reclamante A.A.A. presentó un poder notarial indicando que solo sus tres apoderados podían tener acceso a su cuenta. Añade que dicho empleado extrajo la citada información de la entidad bancaria, en soporte físico y, posteriormente escaneó los documentos relativos a su persona para proceder a su envío a terceros. Pocos días después, otro reclamante denuncia ante la AEPD idénticos hechos, manifestando que un empleado de BBVA facilitó a ocho personas, a través de un mensaje de correo electrónico, información bancaria relativa a B.B.B. sin su consentimiento. Añade que dicho empleado no estaba autorizado a acceder a dicha información y que extrajo la misma de la entidad bancaria, en soporte físico y, posteriormente escaneó los documentos relativos a su persona para proceder a su envío a terceros.
La dirección de correo electrónico utilizada para el envío de tales correos electrónicos no corresponde a ningún dominio del Grupo BBVA, es una dirección personal. Tras las actuaciones de investigación por parte de BBVA, determinan que el responsable es C.C.C., antiguo empleado de la entidad,que con anterioridad a los hechos ocurridos cursó baja voluntaria incentivada con motivo de su adscripción al ERE.
La AEPD entiende acreditado el acceso a información financiera de A.A.A. por C.C.C. sin que estuviera autorizado y sin que fuera ello necesario en atención a sus funciones. El hecho de que utilizara para ello una dirección ajena a BBVA es completamente irrelevante a los fines del presente procedimiento sancionador. Ni tampoco el hecho de que al enviar el correo electrónico con información financiera de A.A.A. ya no fuera empleado de BBVA, si bien lo era al momento en que se obtuvo tal información que fue enviada posteriormente por correo electrónico. el problema radica en que por parte de C.C.C se pudiera acceder a los datos financieros de A.A.A. sin que éste estuviera autorizado, permitiéndole obtener copia de la información y usarla para sus propios intereses.
En el presente caso, BBVA no contaba con las medidas de seguridad de índole técnico y organizativo suficientes para evitar que se produjera una violación de seguridad de los datos personales de clientes, datos de los que el banco es titular. Si bien el banco contaba con medidas para lograr la trazabilidad de quien había accedido a los datos personales de sus clientes, no consta en el presente procedimiento que se realizaran auditorías o revisiones posteriores por, por ejemplo, una denuncia, ni que se hubiera implementado medidas técnicas y organizativas apropiadas para que cada empleado pudiera acceder solamente a los datos personales de aquellos clientes que tuviera asignado en un momento determinado e impedir que cualquier empleado pudiera acceder a los datos personales de cualquier cliente. No hay medidas preventivas previas en el presente caso. No se atiende al enfoque de riesgos del RGPD ni a su carácter preventivo
Si bien es cierto que BBVA disponía de algunas medidas dirigidas a los empleados en relación con la protección de datos personales, como proporcionar información y formación; resulta evidente que son insuficientes para evitar un incidente similar a la cuestión que dio origen al presente procedimiento. Además, tampoco es suficiente con que BBVA, como responsable del tratamiento, implante medidas de seguridad, sino que también, debe asegurar su cumplimiento.
Procedimiento: PS-00505- 2024.pdf
200.000 euros a SERVISA por divulgar los datos de una denuncia interna por acoso laboral
• Arts Afectados: Art. 5.1.f RGPD (Confidencialidad)• Resolución: 200.000 euros (120.000 euros por pago voluntario y reconocimiento de responsabilidad)
01657ABR2025 - Confidencialidad – Laboral -
La reclamante indica que la empresa SERVICIOS ESPECIALES S.A. (SERVISA) ha publicado que ella es denunciante en un proceso de acoso laboral, y la empresa ha divulgando su nombre y apellidos y junto a la palabra “denunciante”. En el presente caso, los hechos traen causa del traslado a los miembros de la Comisión Instructora en procesos de acoso, del escrito de denuncia de acoso, con el fin de proceder a realizar las actuaciones que se considerasen procedentes, resultantes del “Protocolo para la prevención y actuación frente al acoso psicológico y el acoso discriminatorio en la empresa”. En la denuncia se identificaban a los responsables de supuestas conductas que podían estar incluidas dentro de las que deban ser consideradas como susceptibles de acoso en los términos establecidos en el citado protocolo, motivo por el cual, por parte de la Comisión Instructora se han llevado a cabo las averiguaciones correspondientes para esclarecer la denuncia. Iniciado el procedimiento y tras las investigaciones llevadas a cabo, la Comisión Instructora emite informe concluyendo que no cabía calificar la denuncia presentada como propia de un acoso laboral. En el citado informe se contienen los datos identificativos de los 5 denunciantes y 10 denunciados de tal modo que, tanto los denunciantes como los denunciados, han tenido acceso a la identidad de cada uno de ellos. La reclamante señala que todo el centro de trabajo sabe que es una de las denunciantes y conoce a los denunciados, extremo que originó que uno de los denunciados pusiera en un grupo de WhatsApp de trabajo, el mismo día del conocimiento de la resolución, un emoji de un beso y la frase: “Gracias por la denuncia”. La reclamante indica que ese mismo día sufrió un ataque de ansiedad, deviniendo en baja médica.
SERVISA indica que desde la perspectiva de la protección de datos, se concluye que no es posible apreciar una infracción de la legislación en esta materia y ello por la razón de que todos los interesados estaban perfectamente al tanto de todas las identidades de los afectados desde un principio. Asimismo, señala que la denuncia que dio inicio al procedimiento seguido internamente fue planteada por el comité de empresa sin invocar el derecho al anonimato de los denunciantes, ni tampoco estos lo solicitaron. No obstante, SERVISA con posterioridad ha adoptado medidas preventivas y reparadoras: entre las primeras un programa de información y un seminario específico para los miembros que deban integrar las diversas comisiones sobre alcance de los derechos de los interesados, incluida la materia de protección de datos personales y entre las segundas, se ha aprobado un texto de disculpa que se envía a los afectados en el que se da explicación de lo ocurrido y se ratifica la política interna de máxima confidencialidad
Por tanto, se desprende tras la tramitación del procedimiento por acoso laboral en la empresa, SERVISA remite la resolución del procedimiento de tal modo, que todos los denunciantes y denunciados han tenido acceso a la identidad de cada uno de ellos, desprotegiendo su identidad, la confidencialidad de sus datos, lo que se considera una infracción del artículo 5.1.f RGPD, considerando además como agravante el grado de negligencia, atendida la naturaleza de los datos personales revelados (condición de denunciante o denunciado en un proceso de acoso laboral) y las especiales exigencias de confidencialidad que deben de respetarse en procesos de acoso laboral.
Procedimiento: PS-00081- 2024.pdf
La AEPD sanciona con 1.000 euros la falta de atención de una petición de acceso a datos
• Arts Afectados: Art. 15 RGPD (Derecho de acceso)• Resolución: 1.000 euros
01658ABR2025 - Derecho de acceso – Eventos -
La reclamante solicitó derecho de acceso a sus datos personales, sin que tal solicitud hubiera sido debidamente atendida por parte de MY PERFECT WEDDING (MAKING SOLUTIONS, S.L.). el 10 de mayo de 2022, insistiendo el 12 de mayo de 2022 que no había recibido respuesta. El 15 de junio de 2022 la autoridad irlandesa de protección de datos envió un correo electrónico a MY PERFECT WEDDING que no obtuvo respuesta, por lo que se solicitó la asistencia de la AEPD como autoridad de control principal competente, al tener dicha empresa su establecimiento único en España. Notificado acuerdo de inicio conforme a las normas establecidas LPACAP y transcurrido el plazo otorgado para la formulación de alegaciones, no se ha remitido alegaciones.
En este caso, la AEPD analiza la posible prescripción de la infracción, indicando que la LOPDGDD contempla como infracción leve (art. 74.c LOPDGDD) la falta de atención de las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 RGPD, las cuales prescriben al año. Por tanto, al haber transcurrido más de un año desde que MY PERFECT WEDDING debió dar alguna respuesta a la reclamante, la posible infracción del artículo 12 del RGPD estaría prescrita. Sin embargo, entiende la AEPD que no constando acreditado que tal solicitud de acceso a los datos personales de la reclamante hubiera sido atendida, la infracción aplicable es la prevista en el art. 74.k, el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 RGPD; infracción que no estaría prescrita al ser considerada muy grave, cuyo plazo de prescripción es de 3 años
Anotaciones: De la resolución da la sensación que la AEPD ha tratado de salvar la sanción cambiando el tipo de infracción. La infracción leve se produce por la falta de atención de ejercicio de derechos (como ocurre en este caso); mientras que la infracción muy grave se produce por el impedimento, obstaculización o no atención reiterada. En ningún momento se requiere para que la sanción sea leve que se haya atendido de forma tardía o extemporánea, como parece intentar justificar la AEPD para modificar el criterio. La diferencia fundamental entre ambas sanciones parece radicar en la intencionalidad del Responsable: la infracción muy grave requiere una actuación activa (impedir u obstaculizar) o a mútliples omisiones de sus obligaciones (falta de atención reiterada); mientras que la infracción leve parece ir destinada a supuestos más puntuales, como el caso concreto
Procedimiento: PD-00168- 2024.pdf
El impago de cuotas no puede ser obstáculo para la atención de ejercicio de derechos
• Arts Afectados: Art. 15 RGPD (Derecho de acceso)• Resolución: Estimación de la solicitud
01659ABR2025 - Derecho de acceso – Centro educativo -
El reclamante pone en conocimiento de la AEPD que es padre de una menor de edad que ha estado matriculada en el centro educativo perteneciente a VILSAN COLECTIVIDADES, S.L. Tras ser expulsada del centro, solicitó el acceso a las fotografías realizadas a la menor, así como copia del documento por el que se autorizaba el tratamiento de los datos de esta. Afirma que el centro le contestó negando el acceso a dichas fotografías y sin facilitarle el documento de autorización para el tratamiento de datos de la menor. Por su parte, VILSAN manifiesta que no se ha expulsado a la menor, sino que el problema radica en el impago de una cuota del centro. A raíz de dicho impago, y según recoge la normativa interna del centr“El impago de algún mes, y mientras se resuelva la incidencia, la Escuela se reserva el derecho de no entregar las fotografías, video, imágenes y los trabajos realizados en el centro, por ser considerado como tareas propias de nuestro proyecto educativo, realizadas por el personal del centro.”
Analizado el caso, La AEPD manifiesta carecer de competencias para valorar las circunstancias relatadas en relación con las condiciones contractuales entre las partes, sobre la obligatoriedad o no de abonar determinadas cuotas, debiendo dirigirse a las instancias competentes para su valoración; limitándose a responder sobre el derecho de acceso. El documento de autorización para poder tratar los datos personales de la menor VILSAN lo entregó tras el requerimiento de la AEPD, lo que manifiesta no haber atendido la solicitud en plazo. Respecto a las imágenes de la menor, la solicitud fue denegada alegando impago de determinadas cuotas ligadas al servicio prestado por VILSAN. Este argumento no es susceptible de ser considerado a los efectos de la denegación del derecho de acceso, por cuanto se trata de una cuestión ajena al ejercicio del derecho de acceso. Por ello, entiende la AEPD que VILSAN no atendió adecuadamente el derecho de acceso, de un lado al retrasar la entrega del documento de autorización solicitado; o de otro al proporcionar las fotografías de la menor sin una justificación apropiada que fundamentase su negativa, debiéndose estimar la reclamación.
Anotaciones: Las Directrices 1//2022 del CEPD recoge «el derecho de acceso consta de tres componentes, es decir, la confirmación de si se tratan o no los datos personales, el acceso a los mismos y la información sobre el tratamiento en sí. El interesado también puede obtener una copia de los datos personales tratados, mientras que esta posibilidad no es un derecho adicional del interesado, sino la modalidad de proporcionar acceso a los datos. Por lo tanto, el derecho de acceso puede entenderse tanto como la posibilidad de que el interesado pregunte al responsable del tratamiento si se tratan datos personales sobre él o ella, como la posibilidad de acceder y verificar estos datos.(...) El acceso a los datos personales significa el acceso a los datos personales reales, no solo una descripción general de los datos ni una mera referencia a las categorías de datos personales tratados por el responsable del tratamiento. Si no se aplican límites o restricciones, los interesados tienen derecho a tener acceso a todos los datos tratados en relación con ellos, o a partes de los datos, en función del alcance de la solicitud (véase sec. 2.3.1). La obligación de facilitar el acceso a los datos no depende del tipo o la fuente de dichos datos. Se aplica en toda su extensión incluso en los casos en que la persona requirente haya facilitado inicialmente los datos al responsable»
Procedimiento: PA-00063- 2023.pdf
La AEPD rechaza la posibilidad de disponer de cámaras que enfoquen a un terreno cuya titularidad es objeto de controversia
• Arts Afectados: Art. 5.1 c) RGPD (Minimización de datos)• Resolución: Apercibimiento
01660ABR2025 - Minimización de datos – Videovigilancia -
La reclamante manifiesta que es vecino de la B.B.B. y que esta ha instalado dos cámaras en su vivienda que, por su ubicación y orientación, son susceptibles de captar la finca de la reclamante, contigua a la de B.B.B, si bien retiró una de las cámaras, persistiendo una cámara instalada en una ventana, junto a una maceta, que se orienta a la vivienda de la parte reclamante, sin autorización para ello. Por parte de B.B.B. se remite escrito, indicando que existe una sola cámara instalada orientada a la explanada existente en el exterior de la vivienda de su propiedad en la que existe el acceso y un terreno destinado a aparcamiento del que es propietaria la que suscribe y su esposo. Indica que dicha cámara se encuentra instalada hace más de seis años con la finalidad de vigilar los accesos a la vivienda en zona rústica, sin que capten la vía pública sino el terreno de su propiedad que circunda la vivienda. No obstante, recientemente se ha producido una discusión sobre la propiedad del terreno con familiares de su esposo, hecho que motiva la denuncia formulada, que será objeto de la correspondiente acción ante los Tribunales para obtener una Resolución que respalde la titularidad de dicho terreno que recientemente está siendo cuestionado.
Entiende la AEPD que en este caso la instalación de un sistema de cámaras es un hecho indubitado, así como la orientación hacia una zona en conflicto entre las partes con intereses contrapuestos, lo que supone un razonamiento lógico hacia el tratamiento de datos personales como medida “coercitiva”, por lo que el conjunto de indicios hace enervar la presunción de inocencia, máxime dada la reticencia a la aportación de prueba alguna que permite constatar la legalidad del sistema en cuestión, lo que supone una infracción del principio de minimización. Como medidas a adoptar, la AEPD exige a B.B.B. aclarar todo lo relacionado con la presencia de cámaras hacia propiedades colindantes, aportando impresión de pantalla (vgr. fecha y hora) de lo que se capta en su caso con las mismas o aportando fotografía de la reorientación de la cámara objeto de controversia; recordando que si los terrenos están siendo objeto de discusión solo se puede captar la propiedad privada sobre la que no exista tal discusión judicial.
Procedimiento: PS-00287- 2024.pdf
La AEPD sanciona a una empresa de grúas por fotografiar el DNI del interesado y no tener cartelería de videovigilancia
• Arts Afectados: Art. 5.1.c) RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado); Art. 32 RGPD (Medidas de seguridad)• Resolución: 11.000 euros (3.000 euros (Art. 5.1.c RGPD); 3.000 euros (Art. 13 RGPD); 3.000 euros (Art. 13 RGPD); 2.000 euros (Art. 32 RGPD); 6.600 euros por pago voluntario y reconocimiento de responsabilidad)
01661ABR2025 - Minimización, información y medidas de seguridad – Recogida de datos y Videovigilancia -
El reclamante manifiesta que, para recoger un vehículo en las instalaciones de GRUAS IGNACI le solicitaron aportar su documento de identidad, siendo fotografiado el mismo por la persona que le atendió en dicho establecimiento con su móvil personal, sin ser informado sobre el tratamiento de sus datos, y supeditando la entrega del vehículo a dicha actuación, lo que entiende contraviene la normativa de protección de datos. Adjunta a su reclamación copia del documento de expedido por Grúas Ignaci, en el cual se recoge “Grúas Ignaci hace fotocopia del dni de D. A.A.A., para demostrar que recoge (…) como autorizado del vehículo (...)”, así como el sello de GRUAS IGNACI y una firma. Señala asimismo que las instalaciones cuentan con un sistema de videovigilancia que carece de carteles de zona videovigilada. A pesar de haber sido notificado el acuerdo de inicio, no se recibieron alegaciones
En el presente caso, se analizan múltiples incumplimientos:
- Minimización de datos: GRUAS IGNACI realizó una fotografía del anverso del DNI del reclamante con el objetivo de demostrar que el reclamante recoge el vehículo. El hecho de que se realizara una fotografía al DNI del reclamante, podría suponer un tratamiento excesivo de los datos personales, contrario al principio de “minimización de datos”, al considerar que la situación existente en ese momento posibilitaba la realización de una recogida de datos menos invasiva, siendo suficiente con su mera exhibición y, en su caso, anotación.
- Seguridad del tratamiento: De la documentación se desprende que la fotografía del anverso del DNI del reclamante se habría realizado con el móvil personal de uno de los trabajadores de GRUAS IGNACI. Dicho hecho manifiesta la falta de medidas de seguridad adecuadas para evitar la captación de la imagen del DNI de un usuario por parte de un empleado de dicha entidad. La toma de los datos de un cliente que resulte necesario para la actividad exige que dicho tratamiento deba realizarse con métodos técnicos y organizativos que garanticen la seguridad y confidencialidad de los datos
- Información al interesado: No consta que GRUAS IGNACI haya facilitado a la parte reclamante información alguna acerca del tratamiento de sus datos personales a la que obliga el artículo 13 del RGPD, en el momento en el que se recabaron sus datos personales para la recogida del vehículo. Esta ausencia de información puede producir en el interesado una pérdida de control obre sus datos y causar, entre otras consecuencias, una limitación en varios de los derechos de la parte reclamante como los relativos al acceso, rectificación o supresión de sus datos personales al no poseer la información necesaria para poder ejercitarlos (como la identidad y los datos del responsable)
- Cartelería: Por último, consta que GRUAS IGNACI tendría instaladas cámaras de videovigilancia en el establecimiento careciendo la falta de cartel informativo de zona videovigilada que exige el artículo 13 del RGPD. Esta información debe suministrarse por adelantado -considerando 39 del RGPD-. El objetivo es que quede claro el contexto de la vigilancia.
Procedimiento: PS-00381- 2024.pdf
Continúan las sanciones por envío de correos electrónicos sin hacer uso de CCO
• Arts Afectados: Art. 5.1.f. RGPD (Confidencialidad)• Resolución: 300 euros
01662ABR2025 - Confidencialidad – Correo electrónico -
Por parte del reclamante se pone en conocimiento de la AEPD la recepción de una comunicación comercial, de fecha 23 de enero de 2024, remitida por correo electrónico a una pluralidad de destinatarios (entre ellos el reclamante) sin haber hecho uso de la funcionalidad de copia oculta (CCO), por lo que la dirección de los destinatarios resulta visible para todos ellos. Junto a la reclamación aporta pantallazo del correo electrónico enviado desde la dirección ***EMAIL.1 a un total de 50 destinatarios. Por parte de la Agencia, tras realizar las actuaciones de investigación, se comprueba que B.B.B. consta como titular de la página web y del correo electrónico desde el que se remite la comunicación. Una vez notificado el acuerdo de inicio conforme a las normas del procedimiento administrativo, y no habiendo recibido alegaciones algunas al acuerdo de inicio del expediente, al haberse determinado los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida a la reclamada y la sanción que podría imponerse, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.
Procedimiento: PS-00197- 2024.pdf
Sanción de 5.000 euros por seguir enviando correos publicitarios sin consentimiento expreso del interesado
• Arts Afectados: Art. 21 LSSI (Consentimiento Comunicaciones Comerciales)• Resolución: 5.000 euros
01664ABR2025 - Derecho de oposición – Comunicaciones comerciales -
El reclamante denuncia que ha intentado darse de baja en el sistema para no volver a recibir más correos electrónicos publicitarios de ALL IN DIGITAL MARKETING SL en varias ocasiones pero sigue recibiendo correos electrónicos publicitarios. Pese a ello, presentando para corroborarlo copia de los correos electrónicos enviados solicitando la baja y los correos electrónicos publicitarios recibidos.
Por su parte, ALL IN DIGITAL MARKETING manifiesta que siempre que el cliente solicita la baja de los servicios mencionados, ésta se hace automáticamente y se envía acuse al cliente de la nueva situación, pero si el cliente vuelve a acceder a la web, con sus credenciales y vuelve a aceptar las condiciones y activar los servicios, automáticamente vuelve a estar suscrito y puede empezar a recibir nuevamente comunicaciones comerciales, no obstante, ningún momento presenta prueba del mensaje que envía al cliente comunicándole que la baja del sistema se ha producido correctamente. Tampoco presenta prueba de que el reclamante al acceder nuevamente a la zona de clientes de la web haya vuelto a dar su consentimiento para que se active nuevamente la recepción de correos electrónicos publicitarios, ni presenta prueba de la respuesta que el DPD pueda haber enviado al reclamante, cuando éste se puso en contacto con él a través de su correo electrónico.
En este sentido, la AEPD deja claro que, una vez ejercido el derecho de oposición, no resulta posible considerar que el usuario de la web, por el mero hecho de acceder nuevamente a ella a través de sus claves, esté otorgando un nuevo consentimiento. En este caso, la normativa exige un consentimiento expreso. Esto es, una declaración clara e inequívoca del interesado, de forma que permita la constancia y prueba indubitada de haber revocado su deseo de oposición. Por tanto, el hecho de que ALL IN DIGITAL MARKETING siga enviando correos electrónicos publicitarios al reclamante después de que éste haya manifestado su deseo de no volver a recibir más correos electrónicos de este tipo sin aportar ninguna prueba de que el reclamante haya vuelto a dar su consentimiento para volver a recibirlos constituye una vulneración de lo establecido en el artículo 21 de la LSSI.
Procedimiento: SAP_SE_128-2025.pdf
La Audiencia Provincial de Sevilla condena a un médico por el acceso injustificado a la historia clínica de un compañero
• Arts Afectados: Art. 198 CP (Delito de descubrimiento y revelación de secretos); Art. 197.2 CP (Acceso a datos sensibles); Art. 9 LOPDGDD (Datos sensibles)• Resolución: Un años y 6 meses de prisión + Multa de doce meses + 3 años y 3 meses de Inhabilitación especial + 15.000 euros por daños morales
01665ABR2025 - Confidencialidad – Judicial -
El acusado Remigio, de profesión médico, mantenía con su ex socio Pablo Jesús (el denunciante) un conflicto personal y económico con motivo de un Centro de Rehabilitación que tenían en común. La gestión del negocio motivó discrepancias entre ambos, originando una enemistad entre ambos que motivaría la presentación de múltiples denuncias entre ellos. Remigio, con motivo de hacerse con datos del historial médico de su exsocio que pudieran ser de su interés por el conflicto que mantenía con él, utilizó tanto sus claves como médico de urgencia como las claves que poseía su esposa, enfermera gestora, para acceder a DIRAYA, consciente de que ello vulneraba su intimidad y a sabiendas de que no lo podía hacer al carecer de su autorización y no asistirle médicamente. Su esposa, ajena a los hechos, tuvo conocimiento a raíz de la apertura de un procedimiento disciplinario seguido contra ella, momento en el que el acusado le confesó que fue él quien accedió con sus claves. Inicialmente, y siendo convencida por su marido y los asesores legales que tenía en ese momento, con el fin de proteger a su marido y evitar que ingresara en prisión, admitió los hechos; si bien, con posterioridad al asesorarse con un nuevo Letrado ha negado toda participación en los hechos.
Durante el juicio se discutió si había podido tener acceso a toda su historia clínica, indicando que no se había ocasionado perjuicio alguno. Si bien el acusado había llegado a utilizar con terceros el término loco o perfil esquizoide respecto del denunciante, se considera que es una opinión que pudiera tener pero ello no significa que esos datos los hubiera obtenido de la historia clínica, lo que no se ha llegado a acreditar. En este sentido, recuerda la Audiencia que es irrelevante para la comisión del delito de descubrimiento y revelación de secretos la necesidad de difusión de los datos descubiertos sin autorización. Así pues, el que no conste ningún dato de la historia clínica descubierta por parte del acusado no elimina la comisión del delito que se produce cuando sin autorización del denunciante se accede los datos personales de su historia clínica, o no conste la necesidad de su acceso por alguna asistencia médica por el profesional que lo hace, cosa que no consta. Tampoco se trata de un supuesto en el que el profesional que accede a los datos sin autorización ya los conocía de forma autorizada con anterioridad.
Si bien la jurisprudencia consolidada interpreta que se exige también para considerar típica la conducta del simple acceso que esta cause un perjuicio al titular de los datos, o a un tercero, cuando se trata de datos sensibles, el perjuicio consiste en su mero conocimiento derivado del simple acceso, de modo que se actúa “en perjuicio” cuando se accede a los datos que merezcan la calificación de sensibles, sin que sea necesario un perjuicio añadido a su mero conocimiento. En el presente caso, la existencia del perjuicio se concreta en el acceso al historia de salud del denunciante en más de una veintena de veces, conociendo que esos datos no deben ser vistos por el acusado quien carece de justificación para su accesos, al no estar autorizado por el titular de los datos, ni los precisaba para prestarle una asistencia médica, y sólo accede, durante un periodo de tiempo que coincide con todos los problemas judiciales que con motivo de su gestión en Fisiovilla le acarreó con su exsocio
Procedimiento: PS-00089- 2024
La AEPD sanciona con 200.000 euros a Orange Bank por una brecha de seguridad de un subencargado
• Arts Afectados: Art. 5.1.f) RGPD (Confidencialidad)• Resolución: 200.000 euros
02111ABR2025 - Confidencialidad – Entidades bancarias -
En octubre y noviembre de 2022, se remiten a la AEPD diversas notificaciones de brechas de seguridad por parte de MARKTEL GLOBAL SERVICES S.A, ORANGE ESPAGNE SAU y ORANGE BANK SA. En concreto, la brecha de seguridad se materializó en un ataque con ransomware a MARKTEL, causando una brecha de seguridad consistente en una brecha de confidencialidad y disponibilidad, al constatarse un acceso indebido a los datos personales tratados que fueron cifrados por el atacante.
En relación con la responsabilidad de los datos personales filtrados, en el procedimiento queda constatado que MARKTEL actuaba como encargado de tratamiento de ORANGE ESPAGNE al prestar el servicio de recobro de impagos de clientes que adquirían deudas por la compra de terminales a plazos. ORANGE ESPAGNE actuaba con un doble rol con respecto de estos datos, por un lado, como responsable de tratamiento de los datos personales facilitados en la compra, y por otro como encargado de tratamiento de ORANGE BANK al existir una cesión de derechos de créditos de las deudas contraídas en la venta a plazos del terminal, encargando en el propio contrato a ORANGE ESPAGNE la gestión de las operaciones de recobro en caso de impago. Entiende la AEPD que, en el presente caso, ORANGE BANK SA es el responsable de los derechos de crédito de la deuda contraída y de sus datos personales, con independencia de la actuación y la responsabilidad en la que hayan podido incurrir terceros, pues la negligencia o actuación ilegal de terceros no excluye la suya propia. En el presente caso, se ha vulnerado el principio de confidencialidad pues consta que tras sufrir un ataque informático por ransomware, se produjo un acceso ilegítimo a datos personales, lo que supuso la pérdida de confidencialidad y de control sobre los mismos. Existen medidas dirigidas específicamente a garantizar la confidencialidad de los datos personales, como el cifrado de los mismos o la aplicación sobre ellos de técnicas de pseudonimización o anonimización, medidas que, en caso de haberse aplicado, hubiera, cuando menos, dificultado el acceso por un tercero no autorizado a los datos personales y, en consecuencia, la publicación ulterior de los mismos. Y ello porque la pérdida de confidencialidad se constató consecuencia de la exfiltración de los datos; pérdida de confidencialidad, acceso de un tercero a los datos personales, que no se hubiera producido si estos hubieran estado cifrados o pseudonimizados o anonimizados, pues los delincuentes se hubieran llevado una información ininteligible.
Procedimiento: STS_1403_2025
El CGPJ rechaza una reclamación por indebido tratamiento en sede judicial de datos contenidos en un documento enviado al Juzgado como prueba de un delito.
• Arts Afectados: Art. 236 septies LOPJ (Ejercicio de derecho en sede judicial); Art. 26 Ley Orgánica 7/2021 (Derechos de los interesados en investigaciones y procesos penales)• Resolución: Desestimación del recurso contencioso-administrativo
02112ABR2025 - Derecho de acceso – Judicial -
El demandante Desiderio manifiesta haber mantenido una relación sentimental con doña Felicísima, enfermera del Servicio Extremeño de Salud (SES). Tras romper con ella, entabló una nueva relación con doña Encarna que, inesperadamente y sin dar razón, rompió con él. Añade que la causa de esta segunda ruptura fue que doña Felicísima , para perjudicarle en lo personal y profesional, informó a doña Encarna de diversas circunstancias referidas a su salud, para lo que accedió a su historial médico gracias a la clave profesional que tiene como enfermera del SES. Estos hechos le llevaron a querellarse contra doña Felicísima , acusándola de un delito descubrimiento y revelación de secretos por la consulta de esos datos sobre su salud revelados a terceros; solicitando al Juzgado, que se librase oficio al servicio de informática del SES para que se le remitiese la relación de personas que hubieran accedido a sus datos médicos. El SES respondió enviando al Juzgado un documento, el cual manifiesta Desiderio no era el originalmente enviado, alegando múltiples deficiencias que afectaba a la autenticidad e integridad de la documentación, con quiebra de su cadena de custodia y la trazabilidad de su cadena de interoperabilidad. Además, iba acompañado de un documento y una grabación en vídeo correspondientes a hechos y procedimientos ajenos al suyo. Por ello, solicitó su ejercicio de derecho de acceso para que la documentación se le entregase de "manera íntegra", petición rechazada tanto el Juzgado como por la Audiencia Provincial, indicando que no se detectan indicios de manipulación, y que los datos erróneos que incorpora no invalidan el oficio del SES y se ha relacionado a todas las personas del SES que habían accedido a los datos médicos.
Por el Tribunal Supremo se indicn que el demandante no persigue tanto ejercer el derecho de acceso respecto de unas actuaciones judiciales, sino el inicio de un procedimiento para que, respecto de un documento indispensable en la investigación, se sancione su indebido tratamiento en sede judicial, que impidió que tuviera la finalidad probatoria para la que se recabó. Entrando así en el fondo, se analiza la demanda desde dos perspectivas:
- Respecto al artículo 18.4 CE, supone el derecho a disponer y controlar el uso de datos personales y familiares que pueden recogerse y tratarse informáticamente, atribuye al titular del dato personal un poder de acción para controlar el uso de ese dato, para exigir que no sea conocidos (habeas data). En este caso, la tutela del habeas data, es la propia querella la vía por la que ha optado el demandante para la tutela de un bien jurídico como es el derecho a la autodeterminación informativa o privacidad, castigando penalmente la ilicitud del acceso y transmisión a terceros de sus datos médicos.
- De otro lado, se analiza si la inadmisión de la solicitud podría vulnerar su derecho a la tutela judicial efectiva. En este caso, la Audiencia Provincial rechazó que hubiera indefensión material por cercenar el derecho del demandante a servirse de medios de prueba, por cuanto el tribunal admitió la validez probatoria del documento remitido por el SES, negando que las deficiencias que alega el actor en cuanto a su tratamiento, malogren su fin como evidencia del delito. Por tanto, si lo que pretendía con la diligencia de investigación propuesta en su querella -y estimada- era probar que doña Felicísima accedió indebidamente a sus datos médicos y los había transmitido a terceros y la Audiencia Provincial declara que con el documento enviado por el SES se sabe quién accedió, no se entiende cómo la inadmisión que impugna vulnera ese derecho fundamental.
El CGPJ, como autoridad de protección y mediante el ejercicio de su potestad sancionadora -administrativa-, no puede valorar la corrección del tratamiento del documento remitido por el SES, tal y como se lo entregó al actor el Juzgado, cuando a efectos procesales y penales la autoridad judicial ya lo ha valorado en su eficacia probatoria y ha declarado que por su tratamiento en sede judicial no ha perdido la finalidad para la que se recabó, esto es, como evidencia de un delito.
Procedimiento: PS-00500- 2023
Nueva sanción a VODAFONE por SIM Swapping: 200.000 euros
• Arts Afectados: Art. 6.1 RGPD (Base de legitimación)• Resolución: 200.000 euros
02100ABR2025 - Licitud del tratamiento – Telecomunicaciones -
El reclamante manifiesta haber sido víctima de acciones maliciosas por parte de un tercero desconocido mediante las que se habría obtenido, en fecha 25 de julio de 2022, un duplicado de su tarjeta SIM sin su consentimiento para, finalmente, lograr acceder a sus cuentas bancarias y realizar cargos no autorizados en la misma. En esta reclamación se indica que el duplicado de tarjeta fue entregado a un tercero en una tienda física de VODAFONE.
Con motivo de la solicitud de duplicado de tarjeta, VODAFONE remitió al reclamante un mensaje de texto informando sobre la misma. Para formalizar la petición de duplicado de tarjeta SIM en tienda física, el reclamante aportó copia de su DNI y suscribió el correspondiente formulario de solicitud. Vodafone trató los datos personales del reclamante para la emisión de un duplicado de tarjeta SIM de una línea de teléfono móvil de su titularidad, y que posteriormente facilitó este duplicado de la tarjeta a un tercero, sin el consentimiento del reclamante y sin que exista otra base jurídica que ampare dichos tratamientos de datos personales.
Al tramitarse un cambio de SIM sobre la línea perteneciente al reclamante, y que el duplicado SIM fraudulento fue adquirido en un punto de venta de VODAFONE y por lo tanto entregado en dicha tienda a un tercero. Si bien constan acreditados intentos de obtener el duplicado de SIM desde “Tienda online”, la entrega efectiva del duplicado de SIM a un tercero se realizó en una tienda física tal como reconoce VODAFONE. Por consiguiente, VODAFONE no verificó la personalidad del que solicitó el duplicado de la tarjeta SIM y, por lo tanto, no tomó las cautelas necesarias para que estos hechos no se produjeran y facilitó un duplicado de la tarjeta SIM de la parte reclamante a un tercero, sin el consentimiento de ésta y sin verificar la identidad de dicho tercero. Ni siquiera VODAFONE cumplió los protocolos que tiene establecidos para realizar esa verificación de identidad para solicitudes de este tipo, a pesar de que dichos tratamientos deben clasificarse como vulnerables.
Procedimiento: PS-00086- 2024
La AEPD archiva un procedimiento ante un bazar por acreditar el cumplimiento de la normativa
• Arts Afectados: Art. 13 RGPD (Derecho de información)• Resolución: Archivo de actuaciones
02101ABR2025 - Cartelería – Videovigilancia -
Por parte de la Dirección General de la Guardia Civil - Puesto de Tárrega, se remite oficio en el que pone de manifiesto que tras la inspección realizada en el BAZAR TAOURIRT; se observa una instalación de videovigilancia y la presencia de un solo cartel, que no cumpliría las exigencias normativas de información. No obstante, no se adjunta reportaje fotográfico.
Por parte de BAZAR TAOURIRT se presenta escrito en el que aducía alegaciones, manifestando que “en el interior de nuestro almacén sí existen carteles informativos de la presencia de cámaras”, aportando fotografías del cartel informativo de zona videovigilada ubicada en uno de los laterales de la entrada al almacén. El cartel de Zona Videovigilada contiene los datos del Responsable, un teléfono para ejercitar los derechos, y un e-mail donde pueden solicitar más información sobre el tratamiento de datos.
Si bien los documentos formalizados por los funcionarios a los que se reconoce la condición de autoridad y en los que, observándose los requisitos legales correspondientes se recojan los hechos constatados por aquéllos harán prueba de éstos salvo que se acredite lo contrario, como lo sucedido en el presente supuesto. Es por ello, que de conformidad con las alegaciones y pruebas aportadas por BAZAR TAOURIRT, en particular fotografías del cartel informativo de zona videovigilada, resulta evidente que existe un distintivo en la puerta de acceso al local/almacén del BAZAR TAOURIRT que dispone de la información legalmente exigida por la normativa de protección de datos de carácter personal para entender cumplido el deber de información y, por consiguiente, que no se incurre en una infracción del RGPD. También, del reportaje fotográfico aportado por BAZAR TAOURIRT, se infiere que el distintivo se encuentra colocado a una altura que permite su pronta localización. Dicha alegación fue tenida en cuenta por la instructora del procedimiento, dictando propuesta de resolución.
Procedimiento: PD-00161- 2024
La AEPD estima la solicitud de supresión frente a Google
• Arts Afectados: Art. 17 RGPD (Derecho de supresión); Art. 93 LOPDGDD (Derecho al olvido en búsquedas de Internet)• Resolución: Estimación de la reclamación
02102ABR2025 - Derecho de supresión – Internet -
Por parte del reclamante, se solicita a Google LLC la supresión de sus datos contenidos en una URL. Dicho enlace contiene su CV antiguo con su foto, número de teléfono móvil y la dirección y número de teléfono de sus padres, añadiendo que ha eliminado su perfil del sitio web que contiene la referida información. Junto con el escrito de reclamación la parte reclamante aporta contestación del buscador denegando la solicitud de supresión, de fecha 19 de mayo de 2024, argumentando que en el enlace controvertido hay contenido de interés público.
Por parte de Google, se alega que en el apartado de “FAQ” de la página web original, se indica expresamente que si en algún momento el usuario activó la opción de que los motores de búsqueda indexen su perfil –como todo apunta a que hizo el interesado– deberá solicitar que esta información se elimine de sus cachés si en un momento posterior opta por la eliminación del perfil. En este caso, la URL en cuestión enlaza a informaciones que el propio Sr. A.A.A. ha autorizado y ha decidido publicar en línea. A juicio de esta parte, cuando un interesado decide publicar sus datos de carácter personal de forma deliberada, su expectativa de que esa información permanezca en su esfera privada debe verse reducida. Así, el derecho a la protección de datos del interesado no debería prevalecer, en ese contexto, sobre el derecho a la libertad de información del público interesado en acceder a dicha información.
La AEPD recuerda las directrices del Grupo de Trabajo del 29 en materia de derecho al olvido (Guidelines on the implementation of the Court of Justice of the European Union Judgment on "Google Spain and inc v. AEPD and Mario Costeja C-131/12), el cual recoge "hay una diferencia básica entre la vida privada de la persona y la vida pública o profesional. La disponibilidad de la información en los resultados de búsqueda deviene más aceptable cuanta menos información revele sobre la vida privada de una persona (...) es más probable que la información tenga relevancia si está relacionada con la vida profesional del interesado, pero dependerá de la naturaleza del trabajo del interesado y del interés legítimo del público en tener acceso a esa información a través de una búsqueda por su nombre".
Una vez examinada la documentación obrante en el expediente, se observa que tras realizar una búsqueda a partir del nombre de la parte reclamante se accede a una lista de resultados en la que aparece la URL cuestionada, publicándose informaciones y datos de carácter personal que no son de interés público, por ello, debe prevalecer el derecho a la protección de datos de la parte reclamante sobre el derecho a la libertad de expresión e información. Mantener la difusión de la información puede revestir descrédito en la vida personal de la parte reclamante que se produce en los derechos al honor, intimidad y protección de datos personales, por ello, se entiende que, el tratamiento de datos no son necesarios, por lo que se produce una injerencia en el derecho fundamenta al respecto de la vida privada de la parte reclamante, por todo ello, se debe proceder a la desindexación de los datos personales de las URL controvertidas y que no sean accesibles a través de una búsqueda en internet que verse sobre el nombre de la parte reclamante, a fin de evitar la difusión de la información que pueda resultar lesiva a los derechos invocados, prevaleciendo el derecho autónomo a la protección de datos frente a la libertad de expresión e información al no tener relevancia e interés público.
No obstante, tras admitir la AEPD a trámite la reclamación, Google LLC ha examinado de nuevo el contenido de la página web a la que remite el resultado de búsqueda disputado y ha reconsiderado su decisión inicial. En consecuencia, Google LLC ha procedido al bloqueo solicitado por A.A.A..
Procedimiento: PS-00127- 2024
Multa de medio millón de euros a un encargado de tratamiento por subcontratar servicios sin autorización del Responsable
• Arts Afectados: Art. 28 RGPD (Encargado de tratamiento)• Resolución: 500.000 euros
02103ABR2025 - Encargo de tratamiento – Sanidad -
Con motivo de una inspección de Sanidad por parte de la Consejería de Sanidad de Valencia en enero de 2023, se informa del uso de un software concreto por parte de MARINA SALUD. En este contexto se le requirió la presentación de los contratos de licencia/asistencia y/o prestación de servicios suscritos con las empresas propietarias de las aplicaciones de los sistemas de información sanitaria utilizados en el Hospital de Denia, negándose a hacer la entrega de la documentación requerida, (copia de los contratos suscritos por MARINA SALU SA con los proveedores), indicando que no corresponde a las funciones de la Inspección Sanitaria solicitar copia de los contratos. Consta que en fecha 07/02/2005 se adjudicó a MARINA SALUD el contrato de gestión de servicio público para la prestación de la atención sanitaria integral del Área 12, Departamento de Salud de Denia. En 2009 actualizó el convenio formalizado entre ambas partes, recogiéndose en su cláusula Octava, en la que regula la subcontratación “El responsable apodera al encargado para que subcontrate, en nombre y por cuenta del responsable, el tratamiento de los datos necesarios para la prestación de los servicios objeto de la concesión. A estos efectos, el encargado informará al responsable de la identidad de las sociedades de las cuales pretende el subcontratar los servicios objeto de esta subcontratación.". Tras la entrada en vigor del RGPD, MARINA SALUD formalizó distintos contratos, los cuales no fueron comunicados a la Consejería. MARINA SALUD niega que se haya vulnerado la normativa de protección de datos, manifestando que las subcontrataciones mencionadas se llevaron a cabo en virtud del apoderamiento general otorgado por la Consejería conforme a lo señalado en la cláusula octava del Convenio de tratamiento de datos personales en cumplimiento del artículo 12 de la LOPD aportado en el que se apodera al encargado para la subcontratación.
Por su parte, la AEPD señala que MARINA SALUD recurrió a otros subencargados en base a una autorización general, recogida en el Convenio firmado entre las partes en 2009, por lo que sería de obligado cumplimiento lo dispuesto en el apartado segundo del artículo 28, que se refiere, precisamente, a los casos en que exista una autorización general del responsable del tratamiento, como es el caso que nos ocupa, comunicación de obligado cumplimiento desde el 25 de mayo de 2018, fecha anterior tanto a la inspección realizada por la Consejería. Y en el presente caso, no consta que MARINA SALUD, como encargada del tratamiento, hubiera informado a la Consejería, como Responsable del tratamiento, de los contratos de tratamiento suscritos con posterioridad a dicha fecha con los otros subencargados, y, teniendo en cuenta que los contratos celebrados suponen incorporaciones de otros subencargados, por lo que entrarían en la categoría de los cambios previstos en el artículo 28.2 y deberían haberse informado con anterioridad a su formalización para que el responsable hubiera tenido la oportunidad de oponerse a dichos cambios. Pero incluso antes de la entrada en vigor del RGPD, la obligación de informar al responsable de la identidad de las sociedades con las que se pretendía subcontratar, ya existía en el Convenio de tratamiento de datos personales firmado en 2009, que en su clausula Octava, en la que regula la subcontratación.
Dicho incumplimiento surgió cuando se fueron celebrando los contratos ya que, en virtud del principio de responsabilidad proactiva, el responsable de dichas contrataciones debe estar en condiciones de acreditar que cumplió la obligación, y no lo ha hecho. Esta infracción por parte de l encargado tiene la consideración de infracción permanente, pues se crea un estado antijurídico cuya cesación depende de la voluntad de su autor. Por lo tanto, mientras se continúe utilizando a un subencargado persiste la obligación de informar, ya que la obligación se impone para que el responsable esté informado, y debe estarlo mientras actúe un subencargado,
Procedimiento: PS-00407- 2023
3.000 euros por no poder acreditar el consentimiento del usuario para enviarle publicidad
• Arts Afectados: Art. 21 LSSI• Resolución: 3.000 euros
02104ABR2025 - Consentimiento – Comunicaciones comerciales -
El reclamante A.A.A., se registró en la web allzone.es el día 01/02/2023, para la realización de un pedido, realizando una contratación online de un ordenador portátil el día 22/02/2023, a través de la web de ALLZONE, en la que aceptó todas las condiciones generales de compra, y política de privacidad. Ambas partes reconocen que el reclamante solicita en una primera ocasión la baja en la suscripción a boletín de noticias y ofertas asociadas el día 20/03/2023. Pero el día 23/03/2023 vuelve a recibir una comunicación electrónica referida a la participación de un sorteo remitida por ALL IN ZONE. Tal y como reconocen las partes reclamante y reclamada, el mismo día 23/03/2023, el reclamante vuelve a solicitar la baja, clicando la opción de “cancelar suscripción” que aparece el email de oferta recibido dicho día 23/03/23, como opción gratuita puesta a disposición del cliente para que cancele su suscripción a boletín y ofertas asociadas en el momento que lo desee.
En el presente caso, la AEPD entiende que no resulta aplicable la excepción prevista en el art. 21 LSSI, por cuanto el reclamante contrató un ordenador portátil a través de la web de la reclamada y recibió comunicaciones comerciales para participar en sorteos de productos similares a los que fueron objeto de la contratación (informáticos), pero también recibió correos electrónicos para participar en viajes, que no pueden considerarse productos similares, por lo que no cabe la aplicación de esta excepción respecto de los mismos.
Pero en este caso se refiere a comunicaciones comerciales recibidas a partir de la fecha de baja u oposición al servicio, por lo que se entiende que todas las comunicaciones a las que se refiere el reclamante quedarían fuera del ámbito de esta excepción, estando prohibidas salvo que se pruebe que el reclamante solicitase su recepción. Por tanto, la cuestión controvertida en la que debe centrarse el presente procedimiento es la referida a comprobar si todas las comunicaciones electrónicas recibidas a partir del 23-3-23 se remitieron debido a que el reclamante las solicitó expresamente Es obligación de la reclamada, como prestadora de servicios de la sociedad de la información que celebra contrataciones electrónicas y remite comunicaciones comerciales electrónicas a quienes hayan contratado sus productos o servicios, el documentar, registrar y conservar dichos consentimientos. Y entre los documentos aportados, no hay ninguno que acredite que el reclamante solicitase la recepción de los correos comerciales; pues si bien ALLZONE detalla y explica el procedimiento de contratación online, no se aporta una prueba de veracidad de los datos, sino que se limita a aportar capturas de pantalla que, por sí solas, no acreditan la prestación del consentimiento. En consecuencia, no ha logrado acreditarse por parte de ALLZONE que obtuviera el consentimiento previo del reclamante para poder remitirle las 13 comunicaciones comerciales recibidas, con posterioridad a solicitar la baja, oponiéndose a la recepción de las mismas.
Procedimiento: PS-00253- 2024
Multa a BBVA por haber firmar falsamente consentimientos de protección de datos de un cliente
• Arts Afectados: Art. 6.1. RGPD (Legitimación del tratamiento)• Resolución: 200.000 euros (120.000 euros por pago voluntario y reconocimiento de responsabilidad)
02106ABR2025 - Licitud – Entidades Bancarias -
El reclamante manifiesta que, junto con su mujer, solicitó a BBVA información en relación con un préstamo hipotecario. Manifiesta que BBVA, sin su consentimiento, ha firmado (haciéndose pasar por el reclamante) un documento denominado "Política de Protección de Datos Personales y Declaración de Actividad Económica", ocurriendo lo mismo con su mujer, no reconociendo ninguno las firmas manuscritas que obran en los citados documentos. Manifiesta que acudió a una sucursal de BBVA exponiendo lo sucedido, indicando que deberían haber contactado con el cliente para que se personase en la oficina y firmase la documentación correspondiente, pero que el empleado que le atendió le indicó que es algo que suelen hacer con normalidad "para agilizar los trámites". Junto a la reclamación aporta copia de la documentación controvertida, en la que constan los datos personales de la parte reclamante, así como también figuran tres casillas marcadas relativas a la otorgación del consentimiento para el tratamiento de sus datos personales con fines comerciales por parte de la entidad reclamada y empresas colaboradoras, así como para la elaboración de perfiles. En dicho documento consta una firma manuscrita. Asimismo, aporta otro documento relativo a su mujer, en idénticas condiciones. Presentada la reclamación, el BBVA manifestó, tras haber investigado los hechos, que “el gestor de la sucursal bancaria no respetó el procedimiento de firma de documentos por parte de los clientes” tratándose de un hecho aislado y puntual. Por tanto, BBVA parece reconocer así los hechos y, por lo tanto, la ausencia de base de legitimación para el tratamiento de datos personales del reclamante; por lo que se considera que hubo un tratamiento de datos sin base de legitimación , ya que se estaban relacionando datos personales correctos del reclamante y su mujer con una firma que no es la suya; así mismo, se encontraban marcadas las casillas del consentimiento para el tratamiento de sus datos personales con fines comerciales por parte de BBVA y empresas colaboradoras, así como para la elaboración de perfiles,
Procedimiento: SAP_CA_77_2025.pdf
La Audiencia Provincial de Algeciras condena solidariamente por ilustrar una noticia con una foto de Facebook sin consentimiento del afectado
• Arts Afectados: Art. 18 CE (Derecho al honor y a la propia imagen); Art. 2.1 LOPDH (Consentimiento expreso); Art. 8.2 LOPDH (Excepciones al consentimiento)• Resolución: Estimación del recurso; 10.000 euros de indemnización; retirada de las imágenes
02107ABR2025 - Consentimiento imágenes – Judicial -
El reclamante denuncia que Periodista Digital procedió a la publicación de un artículo en su web, ilustrando dicha noticia con una imagen obtenida del Facebook del reclamante, sin mediar consentimiento alguno. Por parte de los demandados alegan que la fotografía no fue obtenida directamente de la página de la red social aludida, toda vez que dicha fotografía estaba disponible y accesible en el propio buscador "Google", y de hecho sigue estándolo, como perteneciente a la página web de doña Magdalena vinculada con la emisora de radio "Cadena COPE". El Juzgado de primera Instancia desestimó inicialmente la demanda tras inferir que, en el presente caso, se trataba de un personaje con proyección pública, y de relevancia con relación a los hechos noticiados, al tratarse de la investigación de un delito grave, en la persona de una hija de aquel, como presunta autora de los mismos, afirmándose asimismo en la resolución, que la imagen publicada, ya lo había sido anteriormente por otro medio de comunicación, circunstancia de la que el demandante era pleno conocedor.
La Audiencia Provincial recuerda la jurisprudencia fijada por el Alto Tribunal, indicando que el hecho de que, en la cuenta abierta en una red social en Internet, el titular del perfil haya "subido" una fotografía suya que sea accesible al público en general, no autoriza a un tercero a reproducirla en un medio de comunicación sin el consentimiento del titular, porque tal actuación no puede considerarse una consecuencia natural del carácter accesible de los datos e imágenes en un perfil público de una red social en Internet. La finalidad de una cuenta abierta en una red social en Internet es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de la cuenta en un medio de comunicación El consentimiento del titular de la imagen para que el público en general, o un determinado número de personas, pueda ver su fotografía en un blog o en una cuenta abierta en la web de una red social no conlleva la autorización para hacer uso de esa fotografía y publicarla o divulgarla de una forma distinta, pues no constituye el «consentimiento expreso» que prevé el artículo 2.2 de la Ley Orgánica 1/1982 como excluyente de la ilicitud de la captación, reproducción o publicación de la imagen de una persona, aunque este precepto legal, en la interpretación dada por la jurisprudencia, no requiere que sea un consentimiento formal, por ejemplo, dado por escrito, sí exige que se trate de un consentimiento inequívoco, como el que se deduce de actos o conductas de inequívoca significación, no ambiguas ni dudosas.
Tener una cuenta o perfil en una red social en Internet tampoco puede suponer que quede excluida del ámbito protegido por el derecho a la propia imagen la facultad de impedir la publicación de su imagen por parte de terceros, que siguen necesitando del consentimiento expreso del titular para poder publicar su imagen.
Y en el presente caso, no consta que se haya dado el consentimiento; ni tampoco puede ampararse la publicación en ninguna de las excepciones previstas en el art. 8 LPDH, pues el interés público que suscitaba la investigación recaída sobre una persona como presunta autora de un delito contra la salud pública, no exigía ni justificaba que se publicara la imagen del padre de la misma, ni los comentarios que lo acompañan, obtenidos en su perfil de una red social, sin su consentimiento expreso.
Procedimiento: PA-00033- 2023
Nuevo tirón de orejas de la AEPD por cartelería de videovigilancia insuficiente de SECURITAS
• Arts Afectados: Art. 5.1.c) RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado)• Resolución: Apercibimiento (Art. 13 RGPD); Archivo de actuaciones (Art. 5.1.c RGPD)
02109ABR2025 - Minimización y cartelería – Videovigilancia -
La reclamante manifiesta que su vecino, B.B.B. ha instalado una cámara de videovigilancia orientada a una serventía establecida sobre un camino de acceso a las viviendas de varios vecinos de la zona, sin contar con autorización del resto de propietarios y afectados por la serventía. Por parte de B.B.B., se presenta escrito, reconociendo ser responsable de la instalación de la cámara (s), aportando modelo cumplimentado de Declaración responsable; y aporta imagen del cartel colocado en fachada de la empresa de seguridad instaladora del sistema en cuestión, así como de las cámaras instaladas en la fachada de su vivienda.
- Respecto a la captación de imágenes por las cámaras: En el presente caso, de las fotografías aportadas se infiere que una de las cámaras está orientada proporcionadamente hacia la puerta de acceso a la zona de garaje, considerando la medida adecuada a la finalidad de protección del inmueble y sus enseres. B.B.B. puede instalar cámaras de seguridad que tengan por finalidad proteger su vivienda particular, sin tener que contar con la autorización del resto de vecinos que utilicen el camino de tránsito, si bien estos deben estar orientados exclusivamente a su propiedad particular. La segunda cámara está instalada encima de una puerta de acceso a la vivienda, de tal manera que el ángulo de orientación permite inferir que se limita en lo necesario a la protección del acceso a la vivienda, no considerándose invasiva de la serventía de paso, motivo por el cual no se constata la infracción del artículo 5.1.c RGPD
- En relación a la cartelería: Recoge la AEPD que el sistema no esté debidamente señalizado informando que se trata d «zona video-vigilada», indicando finalidad del sistema o modo de ejercitar los derechos en el marco legal actual. El único cartel instalado informando que se trata de zona video-vigilada es de la empresa-Securitas Direct—que no indica el responsable o el modo de ejercitar los derechos. Por tanto, no se puede considerar que B.B.B. disponga de cartel informativo acorde a la normativa de protección de datos, pues solo dispone del de la empresa instaladora.
Procedimiento: PS-00047- 2023
Nueva sanción a MY PERFECT WEDDING por la falta de atención de una petición de acceso a datos
• Arts Afectados: Art. 15 RGPD (Derecho de acceso)• Resolución: 1.000 euros
02110ABR2025 - Derecho de acceso – Eventos -
El 15 de noviembre de 2018 MY PERFECT WEDDING y los reclamantes celebraron un contrato para la celebración de una boda. El 18 de febrero de 2022, ante las posibles sospechas de los reclamantes de que MY PERFECT WEDDING hubiera proporcionado sus datos a un tercero, envió un correo electrónico a info@myperfectwedding.eu, solicitando el acceso a sus datos y los arreglos de la boda realizados por dicha empresa. Durante las siguientes semanas, ambas partes intercambiaron correos, solicitándose por MY PERFECT WEDDING más información, pero en ningún caso se demuestra haber atendido en tiempo y forma la citada solicitud.
Respecto a la confidencialidad: En este caso, en la reclamación presentada ante la autoridad irlandesa de protección de datos, los reclamantes indican que se le ha proporcionado sus datos sin su consentimiento a un tercero. No obstante, no se proporciona evidencia alguna para acreditar tal extremo junto con la citada reclamación. A pesar de las solicitudes de colaboración con la autoridad irlandesa para pedir que proporcione alguna evidencia que sustente la mencionada reclamación, no se ha obtenido respuesta, por lo que no ha podido acreditarse la vulneración de la confidencialidad.
Respecto al derecho de acceso: los reclamantes solicitaron ante MY PERFECT WEDDING acceso a sus datos personales mediante correo electrónico de fecha 18 de febrero de 2022, insistiendo el 4 de marzo de 2022 en que no había obtenido respuesta. El 9 de marzo de 2022 MY PERFECT WEDDING le responde preguntando si quiere que se facilite el acceso por medios electrónicos y en cuál correo electrónico. A este correo respondió la parte reclamante el 9 de marzo de 2022 indicando que quería recibir el acceso a sus datos mediante un determinado correo electrónico. Al menos hasta el 1 de abril de 2022 la parte reclamante no había recibido debida respuesta a su solicitud. Es decir, el plazo legal establecido para dar alguna respuesta a la solicitud de la parte reclamante sobre el acceso a sus datos personales se había visto superado. Sin embargo, entiende la AEPD que no constando acreditado que tal solicitud de acceso a los datos personales de la reclamante hubiera sido atendida, la infracción aplicable es la prevista en el art. 74.k, el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 RGPD; infracción que no estaría prescrita al ser considerada muy grave, cuyo plazo de prescripción es de 3 años
