Resoluciones Relevantes Marzo 2025
Procedimiento: ps-00409- 2023.pdf
4.000 euros por tener cámaras enfocando en exceso a la vía pública en un polígono industrial
• Arts Afectados: Art. 5.1.c RGPD (Minimización de datos)• Resolución: 4.000 euros
01640MAR2025 - Minimización de datos – Videovigilancia -
La reclamante manifiesta que la entidad SNOW INK SIERRA NEVADA, S.L es responsable de un establecimiento que cuenta en su fachada con cámaras de videovigilancia orientadas a la vía pública. Junto a la notificación se aporta imágenes de ubicación de las cámaras. por parte de SNOW INK se presenta escrito, manifestando que tiene el sistema contratado con una empresa externa. El sistema se compone de 4 cámaras exteriores que según indican sólo captan la porción de vía pública imprescindible para la finalidad de seguridad. Indican que tienen carteles informativos expuestos. Las imágenes se visualizan a través de una aplicación en el móvil del responsable. No especifican el tiempo de conservación de las imágenes grabadas ni aportan imágenes del campo de visión de las cámaras. Posteriormente, aporta certificado expedido por la empresa contratada para gestionar la videovigilancia del establecimiento, así como contrato de prestación de servicios, certificado de instalación y correo electrónico por parte de la empresa donde se especifica el tipo de sistema instalado, el encargo de tratamiento y el plazo de conservación de 30 días.
En el presente caso, el sistema de videovigilancia de SNOW INK se encuentra en un edificio de grandes dimensiones situado en un polígono industrial, con acceso por varias calles. El edificio cuenta, al menos con cuatro cámaras que realizan grabación de los accesos exteriores al mismo. No obstante, la orientación de las cámaras permite la captación excesiva de la vía pública, incluyendo a los vehículos estacionados en la calzada, debido al tamaño reducido de la acera, así como de transeúntes.
SNOW INK manifiesta que no pretende capturar imágenes de la vía pública sino que se pretende, mediante el sistema de videovigilancia, controlar los accesos a la nave La AEPD recuerda que no es posible grabar espacio público sin causa justificada debidamente acreditada, ya que las cámaras y videocámaras instaladas con fines de seguridad no podrán obtener imágenes de la vía pública salvo que resulte imprescindible para dicho fin, o resulte imposible evitarlo por razón de la ubicación de aquéllas. Y, en tal caso extraordinario, las cámaras sólo podrán captar la porción mínima necesaria para preservar la seguridad de las personas y bienes, así como de sus instalaciones. En este caso, no puede admitirse toda vez que las cámaras no afecta a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado
De otro lado, trata de justificar que al tratarse de un polígono industrial, supone un menor número de potenciales personas cuyos derechos puedan verse afectados y que las cámaras son fijas, lo que implica una menor disrupción que si fueran móviles. Pero el principio de minimización de datos comporta que no puedan captarse imágenes de la vía pública, siendo indiferente para el tipo infractor la ubicación de la vía pública captada.
Por último, y en relación a las medidas adoptadas la adopción de máscaras de privacidad con posterioridad al acuerdo de inicio de expediente sancionador, no supone que no se haya cometido una infracción que haya de ser sancionada.
Procedimiento: ps-00138- 2024.pdf
Continúan las sanciones a apartamentos turísticos por pedir una foto o copia del DNI
• Arts Afectados: Art. 5.1.c RGPD (Minimización de datos)• Resolución: 2.000 euros (1.200 euros por pago voluntario)
01641MAR2025 - Minimización de datos – WhatsApp -
La reclamante manifiesta que contrató con RESIDENTIAL QUALITY ENJOY el alojamiento en un apartamento turístico sin formalizar un contrato a dicho respecto, siéndole solicitada la remisión, a través de WhatsApp, de imagen de los DNI de los huéspedes, entre otros de una menor, sin mediar información sobre el tratamiento de datos. Señala que no ha firmado consentimiento alguno sobre el tratamiento de datos y que, en el apartamento, a la entrega de llaves, le hicieron firmar un documento del que no le ofrecieron copia. Junto a la reclamación aporta correo electrónico por el que un representante de la reclamada le solicita los DNI de los huéspedes del apartamento contratado.
Por su parte, RESIDENTIAL QUALITY ENJOY describe unas circunstancias relativas a problemas en el pago de la reserva, ajenas al objeto de la reclamación, y aporta además, una conversación de WhatsApp con la reclamante, en la cual se le solicita que envíe “una foto de los dni de las personas que os quedéis en el apartamento”. RESIDENTIAL QUALITY ENJOY afirma que “a través del email en respuesta a los mensajes automáticos de la app, nos envió los DNI”. Por último, se comunican las siguientes medidas: cartel informativo sobre protección de datos en el alojamiento, se enviará información a los huéspedes en materia de protección de datos en el primer contacto que se tenga con ellos, y entregarán una copia del contrato de alquiler, ya sea directamente en papel en el propio alojamiento, o posteriormente por correo electrónico.
La actividad de alquiler de apartamentos con fines turísticos efectuada por RESIDENTIAL QUALITY ENJOY está incluida en el ámbito de aplicación del RD 933/2021, según su artículo 2, que va dirigido a las personas físicas o jurídicas que realicen actividades de hospedaje. La obligación de comprobar la exactitud de los datos personales de los huéspedes, prevista en el artículo 4.3 del RD 933/2021, debe cumplirse sin necesidad de solicitar la entrega de copia o imagen del documento de identidad o escaneo del mismo, pues existen otras alternativas igualmente válidas que permiten realizar esta comprobación de forma fiable. La recogida de la imagen o fotocopia de su DNI (en sus dos caras), del pasaporte u otros documentos acreditativos de la identidad, supone un tratamiento de datos personales que exceden de los exigidos en el apartado 3 del Anexo I.A del RD 933/2021, tales como: la imagen del rostro del viajero, el número de equipo de expedición, o los nombres de los progenitores del viajero, sobre los que no concurre una obligación legal de recogida, registro, y comunicación. Todos ellos serían datos personales cuya recogida supondría un tratamiento excesivo, que es contrario al principio de minimización de datos previsto en el artículo 5.1.c) del RGPD
Procedimiento: ps-00416- 2023.pdf
150.000 euros a BEE DIGITAL por una brecha de seguridad
• Arts Afectados: Art. 5.1.f RGPD (Confidencialidad); Art. 33 RGPD (notificación a la autoridad de control); Art. 34 RGPD (notificación a los interesados)• Resolución: 150.000 euros en total: 150.000 euros (Art. 5.1.f. RGPD); Archivo por prescripción (Arts. 33 y 34 RGPD); (120.000 euros por pago voluntario)
01642MAR2025 - Confidencialidad – Marketing -
En septiembre de 2022, BEEDIGITAL realizó una notificación inicial a la AEPD de una brecha de seguridad, manifestando haber sufrido un acceso no autorizado a datos en sistema de información, viéndose afectados datos básicos. Tras investigar lo sucedido, en una segunda notificación efectuada en octubre, manifestó no haber comunicado a los afectados lo sucedido, pero que procederá a dirigir, telefónicamente o verbalmente, una comunicación dirigida personalmente a cada afectado (postal, email, sms o similar). Tras realizar las notificaciones a los afectados, la ahora reclamante, que nunca había sido cliente de BEEDIGITAL, recibió un e- mail informándole de lo sucedido. A raíz de esta comunicación, la reclamante contactó solicitando información sobre qué datos disponía BEEDIGITAL sobre ella y por qué los tenía, ya que nunca había contratado los servicios de esta compañía ni se había creado una cuenta. BEEDIGITAL respondió a la reclamante informando del origen de los datos y de la licitud del tratamiento, aportan captura de pantalla que lo acredita. Al preguntarles de donde obtuvieron sus datos (dado que en el correo se dirigían a la reclamante con su nombre y apellidos), contestaron, que los datos que tenían del reclamante incluían nombre, apellidos, NIF, teléfono y correo electrónico, los cuales obtuvieron de la Lista Robinson para cumplir con la obligación legal de no enviarle comunicaciones comerciales. La reclamante califica de “desconcertante” que cualquier empresa pueda “almacenar” sus datos “como consecuencia” de que ella se hubiera dado de alta en el referido fichero de exclusión publicitaria.
A los requerimientos de información de la AEPD, BEEDIGITAL afirma que ha obtenido los datos personales de la reclamante a raíz de un email remitido a través del servicio Lista Robinson (ADIGITAL) en fecha 21 de mayo de 2018 y con la finalidad de “no recibir llamadas publicitarias de la entidad”. En dicho email se adjuntaban los siguientes datos de la reclamante: nombre, apellidos, DNI, email, teléfonos. Dicha información es confirmada por ADIGITAL, indicando que el servicio de revocación del consentimiento es un servicio opcional, por el cual se remite de forma directa por email a la entidad que el interesado seleccione los datos necesarios para identificar al interesados que ejerce el derecho de revocación del consentimiento, tratándose de un sistema independiente del servicio de exclusión publicitaria, el cual si se establece un proceso pseudonimizado de consulta que garantiza que las entidades no tienen acceso a los datos de los usuarios inscritos, dado que en este caso no es necesario que la entidad establezca comunicación directa con el usuario para responder a su solicitud, al contrario de lo que sucede en el sistema de revocación del consentimiento.
Es por ello, que de las actuaciones de investigación, la AEPD determina que se ha producido una vulneración de la confidencialidad del tratamiento, toda vez que, a pesar de las muchas medidas de seguridad que la entidad tiene implantadas, todas ellas pertinentes y necesarias para evitar el acceso a sus sistemas teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas; se aprecia la ausencia de seudonimización o cifrado de datos. Por ello, y habiéndose reconocido el acceso de un tercero a los datos de la reclamante y de otras personas, se estima vulnerada la confidencialidad. Respecto a las infracciones por notificaciones tardías tanto a la AEPD como a los interesados, a pesar de considerar las mismas acreditadas, son archivadas por prescripción de las mismas.
Procedimiento: http://ps-00477- 2023.pdf
Nuevo varapalo a CaixaBank: 3.500.000 de euros por deficiencias en la seguridad de la banca online
• Arts Afectados: Art. 5.1.f RGPD (Confidencialidad); Art. 25 RGPD (Privacidad desde el diseño y por defecto) ; Art. 32 RGPD (Medidas de seguridad)• Resolución: 3.500.000 euros: 500.000 euros (Art. 5.1.f RGPD); 3.000.000 euros (Art. 25 RGPD); Archivo (Art. 32 RGPD)
01643MAR2025 - Confidencialidad y Privacidad desde el diseño y por defecto – Entidades Bancarias -
Los reclamantes, clientes de Caixabank, denuncian que disponen de tres cuentas abiertas en la entidad. Uno de los reclamantes tiene 3 cuentas, figurando en dos de ellas como titular y su madre como autorizada. En la tercera cuenta, ambos reclamantes son cotitulares, sin que haya un más personas autorizadas o titulares. No obstante, los reclamantes observan que el servicio de banca online (CaixaBank NOW), manifiestan que la configuración de los accesos y autorizaciones permitía que en la cuenta compartida, la madre de la reclamante, sin estar autorizada, pudiera visualizar información relativa a productos (como tarjetas, saldos y movimientos). Además, se evidenció la exigencia de firma de esta persona para realizar determinadas operaciones, situación que no se correspondía con lo solicitado por la cliente. Tras analizar los hechos, la AEPD concluye:
- Sobre la confidencialidad, Caixabank no habría adoptado las medidas necesarias para cumplir con la voluntad de los reclamantes que son sus clientes. Consta que ambos reclamantes manifestaron su voluntad irrevocable y diáfana de que la madre no tuviera acceso a la cuenta y a los productos ligados a esta de la que son cotitulares. Por tanto, el acceso a los datos personales de los reclamantes se está produciendo por parte de la madre sin solución de continuidad por la falta de medidas del responsable del tratamiento para impedir el acceso no consentido por los reclamantes.
- Sobre las medidas de seguridad, Si bien los hechos ponen de manifiesto la falta de medidas técnicas y organizativas de seguridad que han posibilitado de forma directa el acceso a información de carácter personal de los reclamantes por parte de un tercero no autorizado, cuya falta se ha constatado han tenido una incidencia directa en la pérdida de confidencialidad de datos personales; no consta que se haya producido una conculcación, en el caso concreto, del artículo 32 del RGPD a no haberse acreditado la ausencia de otras medidas técnicas y organizativas de seguridad independientes de la brecha de datos personales.
- Sobre la privacidad desde el diseño y por defecto, Caixabank manifiesta a la AEPD en respuesta al requerimiento efectuado por esta, que, en el caso concreto, la reclamante 1 había configurado su cuenta de tal manera que su madre pueda ver los datos en todas las cuentas, si bien no hay pruebas de que esto hubiera sucedido así más allá de las afirmaciones por Caixabank. Con independencia de tal afirmación, el hecho de que la aplicación informática de la entidad financiera, permitiera que sus clientes, cualquier cliente, puedan en la aplicación online dar acceso a sus cuentas a terceras personas sin que den su autorización expresa todos los titulares de la misma en los supuestos de cuentas corrientes con cotitularidad, supone una vulneración de la debida protección de datos personales desde el diseño. Las circunstancias descritas son ejemplificativas de un mal diseño establecido por Caixabank en su aplicación y para todos los clientes por cuanto, a través de la banca online, no se debería poder nunca permitir que una persona accediese a datos personales obrantes en cuentas en las que no se es titular ni persona autorizada. aunque un cliente hubiese eventualmente modificado su configuración, una correcta aplicación de banca online, no debería permitir, en ningún caso, a nadie, la visualización de una cuenta de la que no es titular ni autorizada
Procedimiento: ps-00492- 2023.pdf
20.000 euros por inscribir en el fichero de morosos sin cumplir los requisitos
• Arts Afectados: Art. 6.1 RGPD (Base de legitimación); Art. 20 LOPDGDD (Sistemas de información crediticia)• Resolución: 20.000 euros
01644MAR2025 - Licitud del tratamiento – Sector energético -
La reclamante manifiesta que la compañía GEO ALTERNATIVA le requiere el pago de una deuda asociada al impago de factura de suministro de gas del mes de 07/2021, así como la inclusión de sus datos en ASNEF en relación con esta deuda, pese a haber llegado a un acuerdo ante la Sección de Consumo del Servicio Territorial de Industria, Comercio y Economía. Por su parte, GEO ALTERNATIVA indica que la deuda que originó la inclusión de la reclamante en el fichero es una deuda cierta, vencida y exigible, sobre la que se habían realizado múltiples reclamaciones y que fue posteriormente abonada por la reclamante en noviembre de 2023; que la controversia surge de la interpretación en la subrogación por el reclamado en los derechos de Cepsa y la presunta eliminación de los descuentos que se venían aplicando; que si bien la deuda se incluye en el fichero el 30/05/2023 la misma fue eliminada del mismo el 30/09/2023, con anterioridad al abono de la deuda por la reclamante ante la previsión de que la misma seria abonada; que, de la misma forma que la deuda cumplía con los requisitos del artículo 20 de la LOPDGDD, fue requerida con carácter previo a su inclusión; que se proceda al archivo y, en caso contrario, subsidiariamente a la minoración de la sanción propuesta en grado mínimo.
A este respecto remarca la AEPD que el artículo 20 LOPDGDD establece de manera específica los requisitos necesarios para considerar o presumir lícito desde la perspectiva de protección de datos la inclusión de datos en sistemas de información crediticia, cuya base de legitimación se ampara, con carácter general, en la existencia de un interés legítimo del responsable del tratamiento. Examinada la documentación, la AEPD determina que, si bien es cierto que la reclamante mantenía una deuda con GEO ALTERNATIVA, no se observó los requisitos formales y materiales establecidos de conformidad con la normativa de protección de datos. La normativa exige que los datos sean ciertos y veraces, requisitos que no se cumplieron en el momento en que se facilitan datos erróneos a un fichero que presta información a terceros sobre el incumplimiento de obligaciones dinerarias. Alega GEO ALTERNATIVA que el error cometido fue debido a que la usuaria abonó el importe que ella estimó como correcto y no la factura completa, ingresando una cantidad que el sistema no detecto ni vinculó como pago, pues no correspondía con ninguna cantidad debida. Sin embargo, la AEPD rechaza dichas alegaciones, indicando que en los correos electrónicos intercambiados acreditan que GE ALTERNATIVA era consciente de que una parte del pago se había realizado. De otro lado, GEO ALTERNATIVA también argumenta que realizó la notificación requiriendo el pago de la deuda en numerosas ocasiones, deuda que fue reconocida por la reclamante con independencia de que no fuera la cantidad exacta. La inclusión en un fichero de solvencia en el que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por un acreedor o por quien actúe por su cuenta o interés deberá efectuarse de conformidad con lo señalado en el artículo 20.1 de la LOPDGDD, que establece la necesidad de cumplir a estos efectos una serie de requisitos. El requerimiento previo de pago es un requisito previo a toda inclusión en el fichero, y considera la AEPD que es cuestionable admitir que se hicieran requerimientos de pago previo cuando la deuda era objeto de reclamación administrativa y el órgano decisor no había dictado resolución sobre el asunto. Atendiendo a las circunstancias de este caso, entiende que el tratamiento efectuado por GEO ALTERNATIVA no contaba con una base de legitimación para la misma en los términos previstos por el artículo 6.1 del RGPD en relación con el mencionado artículo 20 de la LOPDGDD.
Procedimiento: ai-00357- 2024.pdf
La AEPD archiva un procedimiento sancionador contra BBVA a pesar de haber inscrito en un fichero de morosos sin requerimiento previo
• Arts Afectados: Art. 6.1 RGPD (Legitimación del tratamiento); Art. 20 LOPDGDD (Ficheros de solvencia patrimonial)• Resolución: Archivo de procedimiento
01617MAR2025 - Licitud del tratamiento – Entidades bancarias -
La reclamante manifiesta que BBVA ha incluido sus datos personales en sistemas comunes de información crediticia, sin requerirle previamente el pago de forma fehaciente. Con motivo de dicha inclusión la reclamante envió escrito a entidad encargada del fichero de solvencia patrimonial solicitando la cancelación de sus datos y manifestando que las deudas no eran correctas, recibiendo respuesta en el que lamentaban no poder proceder a la cancelación de los datos por haber sido confirmados por la entidad informante del mismo.
Por ello, presenta reclamación ante la AEPD, denunciando la inclusión ilícita de sus datos en el fichero de solvencia patrimonial a instancia de BBVA sin que se haya acreditado la notificación previa reclamando la deuda existente y avisando de su posible inclusión en dicho fichero, por lo que el tratamiento carecería de la licitud requerida en el artículo transcrito. Tras requerir información al BBVA, se recibe contestación haciendo constar que habían procedido a dar de baja de forma cautelar sus datos personales a los ficheros de solvencia económica y patrimonial, justificando que la cesión se habría producido tras haber requerido previamente a la reclamante, dando por válidas las notificaciones de ambos requerimientos de pago asociadas a las dos deudas incluidas en los ficheros de solvencia patrimonial. Sin embargo, la AEPD manifiesta que no consta debidamente acreditada la notificación enviada por la aplicación web reclamando la deuda, a pesar de que BBVA manifiesta en su escrito de respuesta al traslado de la reclamación que hubo un acceso por parte de la parte reclamante, por lo que no se puede entender efectuado el preceptivo requerimiento de pago, previo a la inclusión en el fichero de morosos. No obstante, la AEDP considera que en este caso cabría aplicar lo dispuesto en el art. 65.6 de la LOPDGDD, pues si bien la BBVA no acredita la notificación del requerimiento del pago y su posible inclusión en los ficheros de solvencia, habría procedido a dar de baja los datos personales de la parte reclamante de los ficheros de solvencia económica y patrimonial por lo que ya no está cediendo sus datos personales desde el 02/05/2024, considerando que se han adoptado las medidas para el cumplimiento justificando el archivo de las actuaciones.
Anotaciones: Resulta bastante sorprendente que en este caso, pese a reconocer que se ha producido un tratamiento ilícito de los datos, al no haberse acreditado el cumplimiento de las condiciones necesarias para proceder al alta del afectado en el fichero de solvencia patrimonial, decida archivar la causa por haber dado de baja con posterioridad al inicio de actuaciones de investigación, cuando en múltiples ocasiones ha argüido para mantener una sanción que se estaba incumpliendo al momento de iniciar el procedimiento, sin dar relevancia alguna a cuantas actuaciones hubieran podido realizar durante el procedimiento tendentes a cesar el incumplimiento.
Procedimiento: ps-00335- 2024.pdf
Sancionan a una Administración de fincas por divulgar una escritura entre los vecinos
• Arts Afectados: Art. 5.1.f RGPD (Confidencialidad)• Resolución: 500 euros (300 euros por pago voluntario y reconocimiento de responsabilidad)
01618MAR2025 - Confidencialidad – Administración de fincas -
La reclamante denuncia que la administración de fincas reclamada ha remitido un correo electrónico a todos los comuneros adjuntando copia de una queja interpuesta por ella ante el Colegio Territorial de Fincas de Alicante donde figuran sus datos personales (nombre, apellidos, DNI, teléfono móvil, dirección postal y correo electrónico). También manifiesta que con anterioridad ENCAS ADMINISTRACIONS le remitió copia de una escritura de compraventa de otro comunero, donde figuran los datos personales de este (nombre, apellidos, DNI, estado civil, número de cuenta corriente...). Si bien no se generan dudas que ENCAS ADMINISTRACION, como administradora de la finca, está facultada para tratar y disponer de los datos de los propietarios que resulten necesarios para la gestión ordinaria de los asuntos de la comunidad, esto no le habilita para poder difundir los datos personales de un propietario, aunque en ese momento esté ostentando el cargo de la presidencia, al resto de los comuneros o a terceros, sin contar con base de legitimación para ello.
Debe tenerse en cuenta que el acceso no autorizado a datos personales por un tercero supone que éstos puedan ser utilizados para usos no conocidos, incluso fraudulentos, conllevando una pérdida total y absoluta de control sobre los mismos. Recuerda la AEPD, que la normativa de protección de datos no permite un acceso generalizado a toda la documentación obrante en los archivos de la comunidad sino solamente a aquellos datos que sean estrictamente pertinentes, adecuados y limitados en relación con los fines para los que son tratados, por lo que el envío de la copia de unas escrituras por correo electrónico a la parte reclamante de la propiedad de otro comunero no cumple con el principio de proporcionalidad, no resultando idóneo, necesario ni equilibrado para obtener la finalidad perseguida.
Procedimiento: ps-00418- 2024.pdf
1.000 euros por obligar a consentir la toma de imágenes para inscribir a un menor en actividades deportivas
• Arts Afectados: Art. 7 RGPD (Condiciones para el consentimiento)• Resolución: 1.000 euros (600 euros por pago voluntario y reconocimiento de responsabilidad)
01619MAR2025 - Consentimiento de imágenes – Club deportivos -
La reclamante manifiesta que al realizar la inscripción de su hijo menor de edad en actividades deportivas ofertadas por el CLUB ESPORTIU, marcó en el formulario de inscripción su negativa a la recogida de imágenes de su hijo por el CLUB ESPORTIU, tras lo cual dicho club le contactó a través de correo electrónico, instándole a que aceptara la recogida de imágenes para poder continuar con la inscripción; señalando el club que no podían garantizar que el menor no apareciera en alguna de las instantáneas que recogen, lo que entiende el progenitor/a que es un proceder contrario a la normativa de protección de datos. Aporta junto con su escrito copia de las conversaciones mantenidas. En concreto, de las conversaciones se desprende que el club pide el consentimiento para “aparecer claramente identificable en la web del club y sus redes sociales en forma de grabación o imágenes”, es decir el tratamiento de la imagen del menor (dato personal), consistiría en que el menor apareciese claramente identificable.
Y el artículo 7 RGPD contempla que, para valorar si el consentimiento se ha prestado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato. Y de los correos intercambiados, así como la documental obrante, se deduce que por la reclamante no consentía tal tratamiento de datos de su hijo menor; y que en el supuesto de haberlo consentido, éste no sería libre. Y ello por cuanto los correos que envía el club, se obligaría a aceptar dicha opción del consentimiento de fotos para poder inscribir al menor, dicho consentimiento estaría viciado desde el inicio y podría ser nulo de pleno derecho. El mero hecho de carecer de un software de anonimización de imágenes, que alega el Club, no es óbice para no respetar la voluntad del reclamante de no aparecer en fotografías y/o videos.
Procedimiento: ps-00460- 2024.pdf
Multa al Club Rápido de Bouzas por tirar en un contenedor documentación de varios jugadores
• Arts Afectados: Art. 5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)• Resolución: 1.000 euros (500 euros cada infracción; 600 euros por pago voluntario y reconocimiento de responsabilidad)
01620MAR2025 - Confidencialidad – Club deportivos -
Por la Policía Local, a raíz de una llamada del padre de un menor que juega en el Club Rápido de Bouzas, advierte que en el exterior del campo, “observó una caja de cartón llena de documentación de jugadores pertenecientes al referido club, de muchas temporadas, la mayor parte de los cuales eran de menores de edad, situada en el interior de un contenedor de basura, ubicado en la vía pública sobre la acera y próximo a la entrada principal del campo.” Dos Agentes de la Policía Local acudieron a la llamada y acompañados del requirente fueron al contenedor donde manifiestan ver: “en el interior de un contenedor verde, situado en la parte superior del mismo, con las solapas abiertas y visible para los viandantes observan la caja de cartón llena de documentación, en la que se localizan cientos de carnes y fichas federativas en las que figuran datos personales tipo: DNI, nombre y apellidos, domicilio, fotografía…”. Los Agentes cogieron la caja y la trasladaron a la Jefatura de Policía donde la inspeccionaron y detallaron su contenido en el Parte de Servicio. Posteriormente localizaron al gerente, a quien mostraron toda la documentación hallada, manifestando este que “estuvieron limpiando estos días y que alguien se debió confundir y tirar esa caja al contenedor de basura, pero desconoce quién.
El hecho de que fuese la actuación negligente de un empleado o tercero no exime al Club de su responsabilidad, en cuanto responsable de la correcta utilización de las medidas de seguridad que deberían haber garantizado que cientos de documentos no acabasen en un contenedor de basura, a disposición de cualquiera que pasase por la vía pública. debería haber extremado las medidas para que nadie de su organización introdujese en una caja de cartón, de tan fácil acceso, documentos mezclados de diferentes tipos, diferentes temporadas, menores de edad...
El almacenamiento en una caja de cartón de 1.444 carnés, cientos de fichas, fotografías (en muchos casos de menores de edad), que cuentan con datos personales como nombre y apellidos, dirección, número de teléfono etc., constataría la falta de medidas organizativas para garantizar que el tratamiento de estos datos sea seguro y confidencia.
La inexistencia de medidas se demostraría también por el posterior depósito de dicha caja en un contenedor de basura, reconociendo el gerente que no sabía quién lo había hecho. De todo ello se deduciría que dicho Club no ha adoptado las medidas técnicas y organizativas apropiadas a fin de preservar la confidencialidad y la integridad de los datos que almacena
Procedimiento: ps-00405- 2024.pdf
Multa de 6.000 euros por utilizar el teléfono personal del trabajador con fines laborales sin consentimiento
• Arts Afectados: Art. 6.1 RGPD (Legitimación del tratamiento)• Resolución: 6.000 euros (3.600 euros por pago voluntario y reconocimiento de responsabilidad)
01622MAR2025 - Licitud del tratamiento – Laboral -
La reclamante, trabajadora de la empresa SARARTE, expone que la empresa facilitó sus datos personales, teléfono móvil personal incluido, a 18 personas, sin haber solicitado previamente su consentimiento. Afirma haber tenido conocimiento el día 12 de marzo de 2024, cuando su teléfono móvil personal colapsa y la única llamada que alcanza a responder es de una persona que le indica que SARARTE le ha facilitado sus datos. Contactada por correo electrónico, la empresa SARARTE, reconoce haber facilitado sus datos, argumentando que entienden que es el teléfono que va a utilizar para sus tareas laborales de la empresa. En relación con dichas tareas, SARARTE señala que cuando contrata a una persona le envía un documento estandarizado en relación con el tratamiento de sus datos como trabajadora, que incluye unas casillas para indicar si consiente que sus datos personales sean cedidos a terceros. Cuando la persona contratada no expresa su consentimiento, la empresa le facilita correo electrónico, teléfono o los medios que el proyecto que coordina requiera para las comunicaciones que tenga que realizar como parte de su relación laboral. En el presente caso, sin embargo, se habría utilizado por error su teléfono sin haber consentido expresamente la reclamante, al no constar cumplimentado por la misma el formulario mencionado. No obstante, revisado el formulario, el mismo contiene dos autorizaciones: “( ) Consiento que mis datos personales figuren incorporados en el fichero que mantiene con finalidades de gestión y cesión a Organismos Públicos en cumplimiento de la normativa laboral, de Seguridad Social y Tributaria”. “( ) Consiento que mis datos personales sean cedidos por SARARTE a las entidades que prestan servicios a la misma”
En todo caso, el formulario de recogida de consentimientos dispuesto por SARARTE, aunque hubiese sido suscrito por la reclamada prestando su consentimiento para las dos opciones mostradas, no ampararía la utilización de sus datos de contacto personales para fines propios de la relación laboral, en la medida en que los consentimientos recabados mediante dicho formulario solo hacen referencia a la cesión de datos a organismos públicos, de conformidad con la normativa laboral, de Seguridad Social y tributaria, o a entidades que prestan servicio a SARARTE. La entidad ni siquiera informa debidamente sobre este tratamiento de datos, sobre su finalidad y base jurídica o el derecho a retirar el consentimiento, en su caso, de conformidad con lo establecido en el artículo 13 del RGPD; ni ha establecido ningún mecanismo para que los interesados puedan prestar un consentimiento explícito.
Procedimiento: ps-00484- 2023.pdf
La AEPD impone una sanción millonaria a LNFP por exigir el uso de sistemas biométricos
• Arts Afectados: Art. 35 RGPD (Evaluación de Impacto)• Resolución: 1.000.000 de euros
01623MAR2025 - Evaluación de Impacto – Reconocimiento facial -
Con fechas de entrada en la AEPD en 2022 y 2023, dos denunciantes pusieron de manifiesto la instauración de controles de acceso de espectadores a los estadios de fútbol a través de sistemas biométricos por parte de la Liga Nacional de Fútbol Profesional (LNFP), aportando una noticia de prensa de 22/05/2022 en la segunda denuncia, y la adopción de un acuerdo del Consejo Superior de Deportes (C.S.D.) para dicho acceso a las “gradas de animación” de los estadios de los Clubs de fútbol de primera y segunda división, motivando el inicio de actuaciones de investigación por la AEPD.
Tras las actuaciones de investigación, se concluye que la LNFP instaura a través de una norma federativa obligatoria para Clubes y SAD, como es su RGLNFP, un régimen ordinario de venta de entradas con el abono nominativo que contiene datos básicos para su expedición (filiación y contacto), accediendo con su mera presentación en los tornos de acceso por el escáner de acceso, o si se lleva en electrónico, con el escáner de mano. Adicionalmente a dichos datos, para la venta de entradas destinadas a los abonados que accedan a las gradas de animación, los usuarios, han de proporcionar además de los datos de los abonos ordinarios, o de temporada, los datos biométricos “que se establezcan”, con base en el consentimiento que se utilizan en el momento de los accesos a dichas gradas.
LA AEPD considera que la LNFP es responsable del tratamiento de datos personales de carácter biométrico para el acceso a las gradas de animación de los estadios de fútbol de primera y segunda división, no solo al haber aprobado la norma que instaura como obligatoria para sus Clubs y SAD afiliados, como finalidad de lucha contra la violencia, el racismo, la intolerancia y la xenofobia, sino, también por delimitar en relación con el diseño del sistema mediante su filial SEFPSA tales medios que implican riesgos para los derechos y libertades de los abonados, y que debió contar y superar una previa EIPD. Sin perjuicio de posteriores intervenciones en el tratamiento de datos de otros responsables, Clubes y SADs, que en función de las circunstancias concretas de las instalaciones están sujetos a la obligación en su ámbito.
La LNFP se defiende indicando que no son responsables del tratamiento puesto que no han decidido sobre qué concreto dato biométrico se va a recopilar, sobre el régimen de conservación de los datos, sobre quién tiene acceso a los datos o cuáles son las categorías de interesados, hemos de indicar que la LNFP es responsable del tratamiento de su fase del tratamiento, sin que le incumban decisiones u obligaciones posteriores de otros responsables del tratamiento. En este sentido, la LNFP ha decidido tratar datos biométricos, lo que supone en sí mismo una decisión sobre los medios aun cuando señala no haya querido concretar qué dato biométrico específico debe tratarse, si bien se parte de toda una serie de elementos sobre el citado sistema, los datos a tratar van a ser, según se desprende del RGLNFP.
Si bien es cierto que la ejecución material de los tratamientos es efectuada por los clubes y SAD, ello no exime a la LNFP de las operaciones de tratamiento determinadas por la LNFP, y es que el RGPD determina la obligatoriedad del cumplimiento de una serie de obligaciones, algunas de las cuales son anteriores a las operaciones de tratamiento consistentes en el tratamiento material de datos personales, como sucede en el caso de las Evaluaciones de Impacto, la cual no fue realizada por la LNFP
Procedimiento: ps-00464- 2024.pdf
Una brecha de seguridad en la web de una tienda de ropa le acaba costando 31.000 euros de multa
• Arts Afectados: Art. 5.1 f), RGPD (Confidencialidad); Art. 28, RGPD (Encargo de tratamiento); Art. 32, RGPD (Medidas de seguridad); Art. 34, RGPD (Notificación de brecha de seguridad al interesado)• Resolución: 31.000 euros: 20.000 euros(Art. 5.1 f, RGPD); 5.000 euros (Art. 28, RGPD); 5.000 euros (Art. 32, RGPD); 1.000 euros (Art. 34, RGPD); 18.600 euros por pago voluntario y reconocimiento de responsabilidad
01630MAR2025 - Brecha de seguridad – Páginas web -
El 28 de agosto de 2023 el reclamante denuncia la existencia de una brecha de seguridad que afectó a DISEÑOS HERMANAS ORTIZ CAÑÓN, S.L. (en adelante HO) y que supuso la exposición de los datos personales de miles de clientes, él entre ellos. Junto al escrito, el reclamante aporta enlace de una dirección de Internet donde figuran los datos filtrados. La publicación en el foro, con fecha 24 de junio de 2023, que refiere a una publicación con fecha 28 de noviembre de 2022, indica que en enero de 2022 la tienda Online de ropa responsabilidad de HO sufrió una brecha de datos personales que afectó a clientes. Analizado los datos contenidos en el Excel del archivo descargado, en el mismo se incluyen: Nombre y apellidos, Dirección postal y electrónica, Datos de usuario y contraseña de su cuenta (cifrado), Datos de facturación: Nombre, apellidos, dirección postal y teléfono. Se confirma que las últimas fechas de usuarios registrados corresponden al 16 de enero de 2022, por lo que se podría deducir esta fecha como la fecha de la brecha de datos personales. La publicación de los datos en el foro se realiza en noviembre de 2022. No es hasta el 21 de noviembre de 2023, un casi un mes después de que la AEPD diera traslado de la reclamación a HO, que proceden a realizar la notificación de brecha de seguridad, comunicándolo a los afectados el 19 de diciembre de 2023. de los hechos.
De los hechos analizados, la AEDP concluye lo siguiente:
- Respecto a la confidencialidad, ha quedado acreditado que HO sufrió una brecha de seguridad que permitió la filtración de diversos datos de clientes. En lo que afecta a la citada pérdida de confidencialidad de los datos filtrados, en el informe de las actuaciones previas de investigación se refleja que, a excepción de las contraseñas y datos de facturación, los datos no estaban cifrados de forma segura, anonimizados o protegidos de forma que fueran ininteligibles para quien haya podido tener acceso.
- Sobre las medidas de seguridad: El artículo 32 no establece medidas de seguridad estáticas, sino que corresponde a responsables y encargados determinar aquellas medidas de seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales, por lo tanto, un mismo tratamiento de datos puede implicar medidas de seguridad distintas en función de las especificidades concretas en las que tiene lugar dicho tratamiento de datos. De acuerdo con HO, su hipótesis sobre el motivo por el que pudo producirse la brecha sería la instalación de un plug-in en la web para exportar el historial de pedidos y usuarios de su anterior web para migrarlo a la actual, en el que quedaría alojado el archivo objeto de la brecha, de tal modo que, durante los trabajos de migración, alguien podría haber accedido a dicho archivo. En cualquiera de los casos, en la fecha en que se produce la brecha, no estarían implementadas medidas de seguridad que han decidido implementar con posterioridad (como implantar la solución AWS Trusted Advisor o similares, Utilizar técnicas de hash y encriptación para almacenar contraseñas; o la autenticación de dos factores.
- Sobre la notificación de la brecha a los interesados: por último, el conocimiento de una violación de la seguridad de los datos personales se habría producido, según afirma HO, por el traslado de la reclamación por parte de la AEPD Agencia (recogido el 31/10/23). Sin embargo, la notificación a los interesados no se produce hasta el 19/12/2023, incumpliendo lo establecido por el artículo 34.1 del RGPD, que exige que dicha notificación se realice “sin dilación indebida”.
Procedimiento: ps-00540- 2024.pdf
1.000.000 de euros por un error en una línea de código que provocó una brecha de seguridad en la plataforma de IBERMUTUA
• Arts Afectados: Art. 5.1 f), RGPD (Confidencialidad)• Resolución: 1.000.000 de euros (600.000 euros por pago voluntario y reconocimiento de responsabilidad)
01631MAR2025 - Confidencialidad – Mutualidades -
Por parte de dos denunciantes, manifiestan haber recibido una comunicación remitida por el DPD de IBERMUTUA en la que se les informa de que debido a un error informático se habían remitido datos personales, que incluían datos sobre salud, a diferentes empresas y entidades, con las que IBERMUTUA se había puesto en contacto para que fueran eliminados. Junto a las reclamaciones aportan los escritos remitidos.
Preguntado por los hechos, IBERMUTUA informa sobre lo sucedido, indicando que la brecha se produjo su plataforma en línea dirigida a empresas que colaboran en la gestión de trámites ante IBERMUTUA (Mutua Colaboradora con la Seguridad Social). Su finalidad principal es digitalizar y facilitar la gestión de trámites y consultas relacionadas con prestaciones económicas a cargo de IBERMUTUA, de las que son beneficiarias personas trabajadoras en empresas usuarias de la plataforma. El 15/07/2024, una empresa usuaria de la plataforma informa a IBERMUTUA de que en un correo electrónico de notificación semanal con la situación de bajas laborales de sus empleados, se acompañan archivos adjuntos con datos relativos a personas ajenas a su empresa. A raíz de esa comunicación se detecta un error humano en la programación en el envío de archivos adjuntos en emails remitidos desde la plataforma, en los que se han ido concatenando y adjuntando ficheros de Excel con información de empleados de otras empresas y entidades. En concreto, se añadió un comentario a una línea de código que hacía que se reseteara el envío adjunto del Excel en cada nueva notificación. La introducción de un comentario hace que la línea de código no se ejecute y, en consecuencia, en cada envío se adicionan los anteriores generados en la misma emisión del día y que iban dirigidos a otros destinatarios.
El incidente afecta a los datos 3.395 personas, cuyos datos fueron enviados a un total de 354 destinatarios de empresas y asesorías colaboradoras de IBERMUTUA. La información incluía, entre otros, los siguientes datos personales: Nombre y apellidos; NIF/NIE; Número de afiliación a la Seguridad Social (NAF); Edad; Tipo de contingencia; Si se trataba de un proceso con baja o sin baja laboral; Fecha de la baja; Fecha del alta laboral; Número de días de baja laboral; Empresa del trabajador/a; Causa del alta; Días previstos de baja laboral; Base Reguladora para el cálculo de la prestación económica; Coste total o parcial del proceso; Coste aproximado de cotización; CNO; Si tiene o no carencia para tener derecho a la prestación económica...
Esta brecha supuso el envío a distintas entidades colaboradoras de IBERMUTUA de datos de personas que no pertenecían a dichas empresas y que, por tanto, no estaban legitimadas para conocer, una brecha de especial gravedad teniendo en cuenta el elevado número de afectados, así como la afectación a categoría de datos sensibles.
Procedimiento: ps-00208- 2024.pdf
1.000 euros a un asilo de ancianos por mandar correos sin copia oculta
• Arts Afectados: Art. 5.1 f), RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)• Resolución: 1.000 euros en total (600 euros (Art. 5.1f RGPD); 400 euros (Art. 32 RGPD); 600 euros por pago voluntario y reconocimiento de responsabilidad)
01632MAR2025 - Confidencialidad – Correo Electrónico -
La reclamante pone de manifiesto que, por parte de ASILO DE ANCIANOS SANTO DOMINGO Y SANTA ELOISA, cuando envían correos electrónicos desde la dirección de correo electrónico de la residencia, éstos se envían de manera masiva a todos los familiares de los residentes, dejando expuestos los correos electrónicos y nombres y apellidos. Este hecho se produce de manera reiterativa, y añade que, a pesar de haberlo comunicado en varias ocasiones a la residencia, los emails siguen llegando de la misma manera. Anexa junto a su escrito diversos correos electrónicos en los que se observa la conducta denunciada.
En el presente caso, consta que se ha producido una brecha de datos personales, categorizada como brecha de confidencialidad, al haberse remitido varios correos electrónicos a la reclamante, que incluían los datos personales de más personas, al haberse enviado dichos correos electrónicos sin la funcionalidad de copia oculta, es decir, constando todos los destinatarios de dichos correos electrónicos. Como consecuencia del envío de estos correos electrónicos se ha ocasionado la comunicación no autorizada de las direcciones de correo electrónico de todas las personas que aparecen como destinatarios del correo. Asimismo, ha quedado acreditado que, al remitirse los correos electrónicos, el ASILO DE ANCIANOS no había previsto las medidas de seguridad razonables en función de los posibles riesgos estimados a los que se refiere el artículo 32 del RGPD.
Procedimiento: SAP_M_17749_2024.pdf
La Audiencia Provincial de Madrid condena solidariamente con 60.000 euros a una clínica, una empresa sanitaria y un empleado por vulneración de datos personales
• Arts Afectados: Art. 9 LOPD (Seguridad del tratamiento); Art. 10 LOPD (Deber de secreto); Art. 19 LOPD (Derecho a ser indemnizado)• Resolución: Estimación íntegra de la demanda, 60.000 euros de indemnización
01633MAR2025 - Confidencialidad – Judicial -
La demandante, Dª Sara, sufrió en 2014 una intervención quirúrgica en la «Clínica La Luz» de una patología de columna lumbar, permaneciendo unos días hospitalizada. Días más tarde, tras el alta hospitalaria, Dª Sara recibe un primer mensaje de WhatsApp de una persona anónima que se identifica como «un admirador», solo hay unos saludos y una negativa a identificarse y dar la razón de cómo tiene el móvil de la demandante. Durante los días siguientes, Dª Sara continúa recibiendo mensajes, cada día más inapropiados, reconociendo que le «ha visto en la clínica, pero que por favor no le diga nada a nadie», concretando que fue en el quirófano, durante la intervención de cirugía. La demandante fue intervenida por el Dr. Eulalio; reconociendo que estuvo como asistente proveedor de la casa suministradora del instrumental quirúrgico NEUROMED HISPANIA, D. Belarmino (persona que enviaba los WhatsApp). Afirma que éste no podía tener acceso a los datos de la actora durante la intervención ya que solo pueden acceder los facultativos, que conocen las claves, si bien podría haber obtenido los datos de filiación de ingreso, que se recogen en la admisión del hospital, y que van con la paciente en una carpeta por todos los servicios médicos por los que pasa.
Utilizar los datos de identificación y comunicación de una paciente prestados para una intervención quirúrgica obrantes en un historial médico, para un interés personal de contactar con el paciente con una finalidad privada, es un propósito ajeno al fin que justifico su sesión por la actora y su recepción por las entidades demandadas, que supone la vulneración de las obligaciones de seguridad de los datos y del deber de confidencialidad. Y es precisamente la contravención de estos deberes por el responsable o el encargado del tratamiento que causen daño o lesión en sus bienes o derechos a los interesados dará lugar al derecho a ser indemnizados. Y en lo que a la hora de determinar la responsabilidad, si bien considera que D. Belarmino es el responsable directo se refiere:
- D. Belarmino, es responsable directo de la filtración de datos y la invasión de la esfera privada, aprovechándose del acceso tanto al centro como al quirófano permitido por el Hospital, y en su condición de empleado de NEUROMED, para el manejo de los aparatos, y con propósito ajeno a toda diligencia profesional exigible, accede, si bien se desconoce exactamente como, a los datos privados de la paciente, y los utiliza para contactar con ella para intentar intimar con la paciente y realizar proposiciones ajenas a la voluntad e iniciativa de Dª Sara, vulnerando tanto la esfera personal del paciente, como el secreto al que viene obligado por su vinculación laboral con la entidad demandada NEUROMED.
- Respecto de Neuromed Hispania, la mera firma de un documento general de advertencia en materia de seguridad, no le exime de la responsabilidad de la filtración de los datos a su empleado, ni tampoco y dado que se está exigiendo una responsabilidad civil general, de la culpa in eligiendo en la que incurre, por la conducta infractora de D. Belarmino. Entre Neuromed y D. Belarmino mediaba una relación laboral, y solo por dicha condición pudo acceder tanto al quirófano, como a las restantes dependencias de la clínica y conseguir tales datos.
- En relación con la Clínica, no puede quedar eximida de tal responsabilidad por que los datos tras ser registrados en el ingreso, según reconoció el centro, pasen al equipo médico concreto, pues hay un espacio de impunidad no resuelto, en el cual se produce la filtración, anomalía de la que no es responsable la paciente. Y ambas entidades son participes de no haber adoptados las suficientes medidas de seguridad y vigilancia, para que el deber de mantener el secreto de tales datos, no fuera vulnerado.
Procedimiento: ps-00235- 2024.pdf
2.000 euros por mala implementación de cookies en la web
• Arts Afectados: Art. 22.2 LSSI (Consentimiento cookies)• Resolución: 2.000 euros (1.600 euros por pago voluntario)
01635MAR2025 - Consentimiento – Cookies -
El reclamante denuncia en su escrito, entre otras cuestiones que, la web https://nutrisano.es/, propiedad de MAXPOWER FITNESS NUTRITION, S.L. no cumple con los requisitos establecidos por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información, respecto a la “Política de Cookies”. Analizada la web por la AEPD, se observa que antes de que el usuario preste su consentimiento, se instalan Cookies de naturaleza técnica (“_cmp_a” ; “receiver-cookie-deprecation”; “keep_alive” ; “Localización” y “secure_customer_”); Cookies de Orientación o Publicidad comportamental (“_tracking_consent”) y Cookies cuya función o ha podido ser identificada. (“Popup-cookie”). Asimismo, si se opta por rechazar todas las cookies («Rechazar») en el banner inicial, se observa como la web sigue utilizando las mismas cookies detectadas al inicio de la sesión. Lo mismo sucede si se rechazan las cookies desde el apartado «Administrar preferencias». Tampoco se observa que exista la posibilidad de acceder nuevamente al panel de control de cookies para modificar el consentimiento, pues no existe ningún enlace permanente que lo posibilite. La política de cookies de la web recoge la información sobre las cookies de la web
Durante la tramitación del procedimiento, por parte de MAXPOWER FITNESS NUTRITION, S.L se procede a la actualización del sistema de gestión de cookies, siendo revisado nuevamente por la AEPD observando que mantiene en esencia las mismas deficiencias, pero ahora sí permite modificar el consentimiento de cookies en cualquier momento; pero ahora no incluye toda la información de las cookies en su política de cookies.
- Sobre las cookies "_tracking_consent" y "popupcookie", tras revisar su funcionamiento, pese a no estar clasificadas en la web como técnicas, se podrían clasificar como de carácter estrictamente técnico, pues el valor que almacenan es para la gestión del consentimiento del usuario; pero también pueden almacenar otros valores. Y en la web no existe en la política de cookies ninguna información que certifique su carácter exclusivamente técnico.
- Sobre la gestión de cookies, y después de volver a revisar las mismas tras la actualización de la web, la AEPD observó que, pese a existir un panel de control que permite gestionar el consentimiento inicial del usuario, si ahora se cliquea en la opción «Rechazar Todas» se observa como la web sigue utilizando las mismas cookies detectadas cuando se prestó el consentimiento. Esto es, la web no deshabilita las cookies que no son técnicas o necesarias, pues siguen presentes en el equipo terminal.
- Sobre el banner de información de cookies, no identifica las finalidades de las cookies que se utilizarán; no informa sobre si las cookies que se van a utilizar son propias o también de terceros asociados a él y no Informa genéricamente sobre el tipo de datos que se van a recopilar y utilizar en caso de que se elaboren perfiles de los usuarios.
- Respecto a la Información suministrada en la “Política de Cookies”, no se incluye información sobre: definición y función genérica de las cookies; información sobre el tipo de cookies que se utilizan y su finalidad; información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies; identificación de quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros; información sobre la forma de aceptar, denegar o revocar el consentimiento para el uso de cookies; en su caso, información sobre las transferencias de datos a terceros países realizadas por el editor y periodo de conservación de los datos.
Procedimiento: ps-00176- 2024.pdf
20.000 euros a IBERIA CARDS por consultar los datos bloqueados de un cliente para negarle una promoción
• Arts Afectados: Art. 6.1. RGPD (Legitimación del tratamiento)• Resolución: 20.000 euros (16.000 por pago voluntario)
01638MAR2025 - Licitud del tratamiento – Entidades de crédito -
La reclamante manifiesta que, en fecha 28 de noviembre de 2022, la entidad SOCIEDAD CONJUNTA PARA LA EMISIÓN Y GESTIÓN DE MEDIOS DE PAGO EFC SA (en adelante, IBERIA CARDS) confirmó la cancelación de sus tarjetas de Iberia Cards, así como la supresión y el bloqueo de sus datos. No obstante, casi un año después, solicita una nueva Tarjeta y recibe de la IBERIA CARDS respuestas de fecha 31 de octubre y 2 de noviembre de 2023, comunicándole la imposibilidad de aplicar las condiciones de nuevo cliente ante una nueva solicitud de Tarjeta por haber sido cliente con anterioridad de Iberia Cards. Por parte de IBERIA CARDS se indica que efectivamente dieron cumplimiento a la solicitud de borrado de los datos del reclamante, quedando los mismos bloqueados, de forma que no estaban accesibles. Sin embargo, al momento de realizar una nueva petición de cliente, el sistema alerta de que ya había sido cliente con anterioridad, de forma que no se puede aplicar la promoción solicitada, que solo es aplicable a nuevos clientes.
Respecto a la finalidad del tratamiento de datos bloqueados, Iberia Cards habría tratado los datos de la parte reclamante mediante su supresión y al haber sido suprimido los datos, estos se bloquean y no pueden ser utilizados salvo para los supuestos especificados en el artículo 32 de la LOPDGDD. Sin embargo queda acreditado que Iberia Cards en su contestación, de fecha 31 de octubre de 2023, al reclamante al darse de alta nuevamente le indican qu “(...)”. De aquí, que la parte reclamada trató los datos del reclamante para otros fines distintos a los previstos por la normativa. En consecuencia, se trataron los datos después de la supresión y bloqueo de los mismos para conocer el contrato que tenía la parte reclamante antes de la solicitud de supresión y en base a los mismos negarle la promoción por alta nueva.
En lo que afecta a la legitimación del tratamiento, IBERIA CARDS manifiesta haber actuado legítimamente, al cumplir con sus obligaciones de atender el ejercicio de los derechos de protección de datos del reclamante y, por otro, a fin de ejercer su derecho de defensa ante posibles reclamaciones por parte del reclamante, contestó al mismo siguiendo sus instrucciones. Pues bien, el bloqueo impide su tratamiento, pero no implica que no se puedan poner a disposición del afectado los datos personales de los que el responsable dispuso y que trató mientras perduró la relación contractual, por si de ello, como sucede en el presente caso, pudieran surgir responsabilidades derivadas de su tratamiento.
De los hechos probados queda acreditado que IBERIA CARDS trató los datos de la reclamante que debían estar bloqueados. El bloqueo tiene el propósito de reservar los datos para evitar su tratamiento activo o visualización, quedando estos a disposición de los Tribunales, el Ministerio Fiscal u otras Administraciones públicas competentes, en particular las autoridades de protección de datos personales, para las exigencias de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de estas las mismas. Por tanto una vez que se han bloqueado, no se podrán tratar para ninguna finalidad salvo, la expresamente indicada. Transcurrido el plazo de prescripción se procederá a su destrucción.
El hecho de haber tratado los datos después de supresión y bloqueo para conocer el contrato que tenía antes de la supresión la parte reclamante y negarle la promoción por alta nueva supone un tratamiento de datos sin base de legitimación alguna.
Procedimiento: ps-00406- 2023.pdf
Vuelven las sanciones por entrega de paquetes a terceros: 70.000 euros
• Arts Afectados: Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad)• Resolución: 70.000 euros en total: 70.000 euros (Art. 5.1.f RGPD); Archivo de procedimiento (Art. 32 RGPD)
01646MAR2025 - Confidencialidad – Servicios de mensajería -
La reclamante denuncia ante la AEPD a Telefónica Servicios Integrales de Distribución S.A. (en adelante, Zeleris) por la entrega incorrecta de un paquete que contenía un terminal móvil. La etiqueta del paquete presentaba un error en la letra del piso, por lo que se entregó a una persona distinta del destinatario sin su consentimiento, exponiendo sus datos personales que el paquete contenía en la etiqueta, consistentes en nombre y apellidos, y número de teléfono.
Zeleris sostiene que actuó con la diligencia debida, siguiendo la dirección proporcionada y sus procedimientos internos, siendo Telefónica quien facilitó un dato erróneo; siendo la entrega incorrecta un caso aislado. Zeleris también manifiesta que los datos que aparecen en la etiqueta son nombre y apellidos y dirección, los mismos que aparecen en el buzón de correspondencia de cualquier piso de una comunidad de vecinos, por lo que entiende que, en ningún caso, se habrían expuesto datos que no sean conocidos por los vecinos del inmueble; pero dicha manifestación es rechazada por la AEPD por cuanto en la etiqueta de los paquetes figuran más datos personales, en este caso, figura el número de teléfono de contacto de la parte reclamante. Zeleris reconoce que el albarán si contiene más datos personales, pero no se facilita a terceros. Sin embargo, la AEPD no sanciona por haber entregado un albarán, sino que el paquete se haya entregado a una dirección acreditado que era errónea, sin hacer constar quien recibía dicho envío, produciéndose una vulneración de la confidencialidad, al exponer los datos personales del reclamante incorporados en la etiqueta a terceros.
Por último, Zeleris considera que la falta de diligencia se produce por la reclamante a la hora de confirmar su dirección de envío, en la medida en que se le envió un SMS en fecha 13 de septiembre de 2023 informándole que no se había podido entregar su pedido, y se le pedía que confirmara los datos de entrega y no lo realizó. A este respecto, la AEPD mantiene que la sanción a Zeleris es precisamente que no había seguido sus propias instrucciones al proceder a la entrega del envío sin verificar que era el destinatario del mismo y que debía ser el titular del contrato de fusión.
Por todo ello, la AEPD determina que Zeleris no actuó con la diligencia debida, dado que no verificó la identidad del destinatario del paquete, incumpliendo sus propios procedimientos, exponiendo los datos personales del reclamante a un tercero no autorizado. Respecto a la falta de medidas de seguridad, la AEPD consideró que, aunque Zeleris tenía medidas de seguridad implementadas, estas no se aplicaron correctamente en este caso, por lo que no consta que se haya producido una conculcación, en el caso concreto, del artículo 32 del RGPD.
Procedimiento: ps-00229- 2023.pdf
6.000 euros por contestar de forma tardía a un requerimiento de información de la AEPD
• Arts Afectados: Art. 58.1 RGPD (Potestades de investigación)• Resolución: 6.000 euros (4.800 euros por pago voluntario)
01647MAR2025 - Poderes de investigación – AEPD -
Con fecha 12 de abril de 2024, la AEPD inició procedimiento sancionador a TECNOCRÁTICA CENTRO DE DATOS S.L (TCD). En el marco de actuaciones de investigación previas para el esclarecimiento de los hechos en cuestión, se remitió a TCD un requerimiento de información, relativo a la reclamación EXP202303448, para que presentase ante la AEPD la información y documentación que en él se señalaban. Dicha notificación no fue recogida, pero se remitió copia del requerimiento al que si consta que accedió. Sin embargo, por parte de TCD no se contestó al requerimiento de la AEPD. Por ello, entiende la AEPD que sus potestades de investigación fueron obstaculizados dicha conducta, iniciándose el presente procedimiento sancionador. Notificado acuerdo de inicio de procedimiento sancionador, se presentó por TCD respuesta al requerimiento de información. Sin embargo, señala la AEPD que la respuesta al requerimiento de información dada durante la instrucción del procedimiento sancionador no afecta a la existencia de los hechos probados constitutivos de infracción.
Procedimiento: STS_1054_2025.pdf
El Tribunal Supremo condena a un despacho de abogados por vulnerar la intimidad de una empleada cuyos datos estuvieron accesibles en una carpeta compartida
• Arts Afectados: Art. 5.1.f RGPD (Confidencialidad), Art. 32 RGPD (Medidas de seguridad), Art. 236.3 quinquies LOPJ (Tratamiento datos de las partes del proceso), Art. 9.2 LOPDH (Tutela judicial del derecho a la intimidad)• Resolución: Estimación del recurso, 3.000 euros de indemnización
01648MAR2025 - Confidencialidad – Judicial -
El Tribunal Supremo ha estimado el recurso de una extrabajadora por intromisión ilegítima en su derecho a la intimidad personal frente al despacho Vialegis Abogados en el que trabajaba porque una excompañera de trabajo había tenido acceso de manera accidental a la demanda laboral que la demandante había interpuesto frente al despacho. Dicha demanda estaba alojada en una carpeta digital compartida y contenía datos privados e íntimos. La sentencia recuerda que el derecho a la intimidad y el derecho a la protección de datos personales, son categorías diferentes, aunque relacionadas. Y esa diferencia implica que, en ocasiones, los mismos hechos puedan ser constitutivos de vulneración de uno de esos derechos y no del otro. En el caso concreto, atendiendo a la naturaleza de los datos, estaríamos, en principio, ante un caso en el que los mismos hechos podrían constituir una vulneración no solo del derecho a la protección de datos, sino también del derecho a la intimidad personal de la demandante.
La divulgación, la revelación o la publicación se considera intromisión ilegítima por el mero hecho objetivo de la exposición o puesta a disposición del público de tales datos, sin que sea necesario, además, el elemento subjetivo de la intencionalidad y el propósito de perjudicar. La cuestión clave no es si la el despacho pretendía divulgar la información o perjudicar a la demandante, sino si, como resultado de su conducta o comportamiento, ya sea activo u omisivo, los datos privados o íntimos de aquella quedaron expuestos a terceros sin causa de justificación.
En este caso, la falta de medidas de seguridad adecuadas permitió que un documento con datos personales de naturaleza privada e íntima de la demandante estuviera accesible en una carpeta compartida, a la que podían ingresar sin restricción personas ajenas a ella y carentes de autorización.
El hecho de que el archivo fuera eliminado de inmediato no evitó que tuvieran acceso. La intromisión ilegítima se consuma en el momento en que los datos privados e íntimos quedan expuestos sin causa que lo justifique, sin que sea necesario que la divulgación sea masiva ni prolongada en el tiempo. La eliminación posterior del documento no borra el hecho de que se produjo un acceso indebido ni revierte la afectación al derecho a la intimidad de la demandante. La omisión de tales medidas constituye un incumplimiento que derivó en la exposición indebida de datos sensibles. Esta situación configura una vulneración del derecho a la intimidad, independientemente de que no haya existido una intención expresa de divulgar la información o de causar perjuicio a la demandante.
La sala estima la demanda y condena a la entidad demandada a una indemnización por daño moral de 3.000 euros, así como a que, en lo sucesivo, se abstenga de realizar actos semejantes que constituyan una intromisión ilegítima en el derecho a la intimidad de la demandante.
Procedimiento: SAP_M_454_2025.pdf
La Audiencia Provincial de Madrid condena a OKDIARIO por la falta de visibilidad de la rectificación de una noticia
• Arts Afectados: Art. 3. Ley Orgánica Derecho de rectificación (Difusión de la rectificación), Art. 85.2 LOPDGDD (Derecho de rectificación en Internet)• Resolución: Estimación del recurso
01649MAR2025 - Derecho de rectificación – Judicial -
Por OKDIARIO se publicó el 2 de junio de 2022, en portada de diario digital y en Twitter, un artículo con referencia de un tercero de ser mano ejecutora del demandante en el caso pinchazos, a quien el demandante, se afirma, también asesoró sobre el uso de grabaciones ilegales: «Eso en España no es delito», con fotografías de las dos personas mencionadas e imagen de mano con hilos en descenso a la foto.
El demandante solicitó rectificación de la noticia, negando expresamente que por su parte se haya manifestado su deseo de que el tercero mencionado ocupe un puesto de responsabilidad en la RFEF; y que calificarle de títere, arroja sobre su persona una connotación de manipulación que no responde a la realidad. OKDIARIO publicó el día 15 de junio de 2022, en portada del diario digital, el mismo titular y la misma imagen publicada el día 2 de junio, sin referencia ni indicación alguna a la rectificación del contenido de la noticia. Al acceder al contenido se reproduce íntegramente el artículo publicado el día 2 de junio con inclusión, al final de la información, de un enlace con el título Rectificación con remisión a la rectificación publicada en el diario digital.
Si bien el Juzgado de primera Instancia considera cumplida la rectificación por la inclusión «....en la parte final de la noticia primitiva un enlace titulado RECTIFICACIÓN DE (...)» que redirige al lector a la noticia rectificada en la misma, y por haber publicado OKDIARIO nuevamente la noticia rectificada, en la misma Sección de Investigación en la que se publicó la noticia original; publicación que se efectuó en Twitter sobre el Aviso de rectificación; la Audiencia Provincial no comparte la misma conclusión, por cuanto el contenido de la rectificación, como noticia en el medio digital, no se publicó con relevancia semejante a aquella en que se publicó o difundió la información el día 2 de junio de 2022, y tampoco insertó un aviso aclaratorio en lugar visible junto con la información original, porque la referencia en portada del medio digital, para acceder a la rectificación publicada el día 15 de junio de 2022, era el mismo titular del artículo publicado el día 2 de junio de 2022, sin ninguna indicación a que el contenido de la noticia era la rectificación de ese artículo. Asimismo, una vez realizado el acceso a la información aparecía nuevamente el contenido del artículo publicado el día 2 de junio de 2022, con inclusión al final de un enlace con la indicación siguiente «Rectificación (nombre y apellidos de demandante)». Enlace que finalmente permitía el acceso a la publicación de la rectificación, un enlace sin relevancia semejante al titular de la información objeto de rectificación y sin destacar en lugar visible por estar al final del artículo. Tampoco se comparte la conclusión incluida en Sentencia recurrida de haber sido realizada rectificación en Twitter, por no inferirse esa afirmación de la documentación aportada con la contestación a la demanda, documento sin ninguna referencia ni indicación relativa a la rectificación solicitada por demandante.
Por ello, la Audiencia Provincial estima que la rectificación debe ser publicada mediante un nuevo vínculo con relevancia semejante a aquella en que se publicó o difundió la información que se rectifica, en la portada del medio digital y en Twitter, con aviso aclaratorio que deberá aparecer en lugar visible junto con la información original.
Anotaciones: La noticia objeto del procedimiento puede consultarse aquí
https://okdiario.com/investigacion/...
