Aunque es recurrente que la AEPD sancione a entidades que no informan de manera adecuada al RGPD en la recogida de datos personales, es poco habitual ver resoluciones de la Agencia en la que la entidad sancionada por ese motivo sea una Inmobiliaria, sector en el que el incumplimiento normativo de protección de datos es poco habitual.
AEPD sancionado con 2.000€ a un restaurante por pedir a una clienta, que solicito una factura, el nº de teléfono para emitirla (ya que el sistema le obligada a ello), es decir, pedir un dato innecesario, excesivo para la finalidad
Hace 3 días se celebró el Día de la Protección de Datos y ese día leíamos una resolución reciente de la Agencia Española de Protección de Datos (AEPD) en la que, una vez más, recuerda a las entidades que tratan datos personales que si un cliente, empleado, usuario, etc. les pide ejercer un derecho, deben de responder y actuar con la diligencia que establece el RGPD.
El día 19 de octubre de 2021, leíamos 2 resoluciones sancionadoras de la AEPD en las que se desestiman alegaciones sobre que el email no es un dato de carácter personal.
Este post también se podría titular: ¿Cuándo es obligado nombrar un Delegado de Protección de Datos?
Ya que en realidad esa es la cuestión que muchas empresas o entidades que tratan datos personales se preguntan, pero algunas no, y otras tantas lo ignoran.
Imagen geralt en Pixabay
No es el primer caso ni será el último, en el que la actuación incorrecta, indebida, imprudente o como la queramos calificar de un empleado, suponga a la empresa para la que trabaja, una sanción en materia de protección de datos.
Cuestiones como si un “simple” comentario en el texto de un correo electrónico puede considerarse un tratamiento de datos, van a quedar disipadas en esta resolución, si bien nuestra impresión es que la Agencia Española de Protección de Datos (AEPD), que normalmente se caracteriza por ser bastante coherente en sus resoluciones, en este caso creemos que no lo ha sido. Pero mejor, juzguen ustedes mismos
En definitiva, si queréis saber cómo puede un comentario desafortunado en un email de un empleado a otro, que luego éste se olvida de suprimir en la respuesta a una clienta, llega a suponer una sanción de 40.001€ para su empresa deberéis leer esta artículo hasta el final.
Por parte de una clienta contra su Entidad Bancaria, manifestando que un empleado de la sucursal de la que es cliente ha comunicado datos de salud de su persona al Servicio Jurídico de la entidad con motivo de una solicitud de información realizada por la misma ante dicho servicio, información que fue remitida por correo electrónico sin su consentimiento.
En dicho email, el Servicio Jurídico y un empleado de la sucursal hacían referencia al modo de obtener y facilitar la información solicitada por la clienta, y en el último párrafo del correo el empleado afirmaba sobre la cliente: “Comentarte que esta mujer en los 2 últimos meses nos ha solicitado 3 ó 4 veces las claves de acceso y la tarjeta de claves porque dice perderlas o que las tiene su abogada, comentarte que al parecer tiene un trastorno de bipolaridad del que se trata.”
A lo largo del proceso, la AEPD solicitó a la entidad bancaria determinada información y que presentase alegaciones, pero básicamente en las tres ocasiones se manifestó en los mismos términos de manera reiterada y solicitando el archivo de las actuaciones, alegaciones que la Agencia no admitió y que fueron:
La AEPD decide iniciar procedimiento sancionador por la presunta infracción del artículo 7.3 de la LOPD, tipificada como muy grave (de 300.001 a 600.000€)
Recordemos que el artículo 7.3 LOPD, en relación a los datos especialmente protegidos (en este caso datos de salud), señala que: “sólo puedan ser recabados, tratados y cedidos, cuando por razones de interés general así lo disponga una Ley o el afectado consienta expresamente”.
También hemos de recordar, sobre los datos especialmente protegidos, la exigencia de consentimiento expreso del afectado salvo que pueda acreditarse de otra manera y que corresponde siempre al responsable del tratamiento comprobar que tiene dicho consentimiento.
La AEPD inicia periodo de práctica de pruebas, solicitando a la entidad información sobre los datos de carácter personal de la denunciante que figuran en los ficheros de la entidad, que aclare si la denunciante ha facilitado información relativa a la afirmación realizada por el empleado “al parecer tiene un trastorno de bipolaridad del que se trata” y una “declaración testifical del empleado”.
De igual modo, la AEPD solicita a la denunciante que aporte información sobre si en algún momento ha manifestado a alguna persona vinculada a la entidad denunciada que padecía y se trataba de la patología a la que se refiere el correo electrónico referido al mencionado dato de salud.
Las respuestas a la AEPD fueron que mientras, la denunciante indicó que “en ningún momento manifestó a persona vinculada a la entidad denunciada cuestión alguna referente a su estado de salud o a circunstancias propias de su esfera personal e íntima”, la entidad bancaria reiteró sus alegaciones sobre que se trató de un comentario desafortunado de un empleado y de la inexistencia de dato, de un tratamiento y de un fichero.
Ante la resolución, la entidad denunciada, presento nuevo escrito de alegaciones, que podéis leer en detalle en la resolución, reiterando los argumentos expuestos sobre la inaplicabilidad de la LOPD y adjuntando declaración firmada del empleado en la que manifiesta: “Que fue producto de una mera y desafortunada apreciación personal por mi parte, una simple suposición no basada en ninguna información médica ni de ningún otro tipo obtenida ni de la denunciante ni de ningún tercero”
La AEPD considera probado que en los correos electrónicos intercambiados además de mencionar “trastorno de bipolaridad del que se trata” también se hace otra mención a la salud de la denunciante al referirse a los “problemas de salud que pueda tener” y que dichos correos permiten vincular el nombre, apellidos y NIF de la denunciante, es decir, sus datos identificativos y que por lo tanto, se ha producido un tratamiento automatizado de datos personales de salud, sin que la entidad bancaria haya acreditada el consentimiento expreso de la denunciante.
También considera probado que los datos han sido incluidos en una cuenta corporativa del dominio de la entidad bancaria y por tanto implica que existe un tratamiento de datos en un fichero automatizado, remarcando la diligencia que la entidad bancaria no ha tenido.
Aunque la AEPD dicta en su resolución que existen agravantes, es decir, la mencionada diligencia que por su actividad no ha acreditado, si aprecia la concurrencia dos circunstancias recogidas en el Artículo 45.4 de la LOPD, que permiten dejar la sanción en 40.001€, en concreto:
En definitiva, la Agencia pone de manifiesto que un comentario en un correo electrónico supone que existe un tratamiento de datos o fichero automatizado, no aceptando que se tratase de un “error” cometido y asumido por un empleado, fruto de su desafortunada apreciación personal.
Debemos informar y concienciar a nuestros empleados sobre este tipo de comentarios o anotaciones que se realizan sobre clientes, candidatos, evaluaciones de personal, etc. si bien entendemos que seguramente la entidad recurrirá ya que la misma nos parece un tanto desproporcionada.
Enlace a la resolución de la AEPD
En todo caso, quedamos a la espera de vuestros comentarios.
Viene siendo una actuación que se repite y lo cierto es que aunque se pueda pensar en que no tiene sentido no atender los requerimientos que te hagan para evitar una sanción, sencillos por otra parte, algunos siguen no atendiéndolos y por tanto terminan sancionados.
Image courtesy of nipitphand at FreeDigitalPhotos.net
Sobre este tema ya hemos hablado en nuestro artículo de julio de 2013: Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€ y nuevamente nos encontramos un caso similar en la que un particular instala una cámara de videovigilancia que según la resolución de la Agencia Española de Protección de Datos (AEPD) se aprecia en las fotografías que acompañan la denuncia, la cámara está instalada en la ventana de la vivienda denunciada y orientada hacia el exterior, pudiendo captar por su altura y ángulo de orientación la vía pública y propiedades de terceros.
La denunciada no formula alegación alguna en el plazo que la AEPD establece y una vez acreditados los hechos, es decir, presunta infracción del artículo 6.1 de la LOPD que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.
Recodemos que la figura del apercibimiento (BOE 55, 5-3-2011 Disposición final quincuagésima sexta) supuso una “gran noticia” para los infractores en materia LOPD, ya que aunque incumplan la LOPD pueden evitar ser sancionados, salvo que se trate de una infracción muy grave o si ya hubiesen sido sancionados o apercibidos con anterioridad.
En definitiva, que sólo tienes que acreditar la adopción de las medidas correctoras que la AEPD determine, aunque hayas incumplido la normativa.
De manera literal, la sentencia indica que “La denunciada tiene instalado un sistema de videovigilancia con una videocámara orientada hacia el exterior de la vivienda donde está instalada […], no consta que dicha responsable tenga legitimación para el tratamiento de estas imágenes, realizando por tanto un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos”.
No obstante la AEPD, que es muy benévola, acuerda apercibir al tener en cuenta que “no consta vinculación de su actividad con la realización de tratamientos de datos de carácter personal, ni que existan beneficios obtenidos como consecuencia de la comisión de la infracción” instándola a que en el plazo de un mes:
La denunciada no contestó a las solicitudes y finalmente ha sido sancionada con 1.000€ (enlace a la resolución)
La AEPD envía 2 escritos al domicilio de la denunciada con acuse de recibo, que no son atendidos y finalmente la denunciada ha sido sancionada con una multa de 1.000€ por la infracción del artículo 37.1.f) de la LOPD que señala que “son funciones de la Agencia de Protección de Datos: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”.
En definitiva, y como conclusión, repetimos que: si la AEPD te apercibe, atiende su solicitud o prepárate para la multa.
Delete Button For Erasing Or Deleting Trash by Stuart Miles in FreeDigitalPhotos.net
Aunque sobre este tema ya hemos hablado en algún que otro post, queremos hacer hincapié en la utilidad de cumplir nuestros propios protocolos, no sólo por la sanción que nos puedan imponer, sobretodo por no manchar nuestra imagen de marca o negocio.
No atender convenientemente el ejercicio de derechos ARCO (acceso, rectificación, cancelación y oposición) al tratamiento de los datos personales de un cliente o usuario, es uno de los motivos más recurrentes de sanción en el ámbito de la LSSI (Si un cliente solicita la baja de tu newsletter, no le envíes más correos. Sanción de la AEPD)
Normalmente las entidades que han realizado un proyecto de adecuación normativo, habrán establecido un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que habrá notificado a todo su personal con el fin de atenderlos convenientemente, de lo contrario el proyecto de adecuación normativo a la LOPD no ha sido ni completo ni riguroso.
Recordemos que se denomina “spam” a todo tipo de comunicación no solicitada que se realiza por vía electrónica y que se lleva a cabo mediante el envío de correos electrónicos comerciales, SMS o por medios de comunicación electrónica equivalentes.
Como el coste es mínimo y se trata de envíos que se realizan de manera sencilla y ágil, esta práctica se ha extendido entre aquellas empresas que prefieren arriesgarse y lograr una publicidad efectiva antes que legal y respetuosa con sus clientes y los que pudieran llegar a serlo.
El SPAM se considera grave cuando se realiza de forma masiva, abusiva e indiscriminada según se establece en el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, modificado por el Real Decreto-Ley 13/2012, de 30 de marzo.
En definitiva, cualquier envío de comunicación con publicidad por medios de comunicación electrónica estarán supeditados a que exista un consentimiento previo, específico, inequívoco e informado, salvo relación contractual anterior y que no se indique voluntad en contra – Comunicaciones electrónicas no deseadas: motivo recurrente de sanción.
La AEPD acredita en su resolución que el denunciante solicitó en 2 ocasiones la petición del cese en el envío de información comercial, señalando respecto al envío de los 3 correos electrónicos publicitarios lo siguiente:
“[…] No contaba con el consentimiento previo y expreso de la denunciante, toda vez que se enviaron con posterioridad a que éste hubiera manifestado su oposición a la recepción de envíos publicitarios. Por ello, los 3 correos electrónicos enviados […] incumplían la prohibición de remitir comunicaciones comerciales no autorizadas o solicitadas establecida en el artículo 21.1 de la LSSI, ya que se trataba de envíos publicitarios no consentidos por su destinatario, quien había manifestado a la citada entidad su voluntad de no continuar recibiendo publicidad circunstancia perfectamente conocida por dicha entidad”.
Respecto a la culpabilidad de conducta de la imputada, la AEPD señala que:
“[…] Le era exigible otra conducta diferente de la que observó, habida cuenta que no adoptó todas las precauciones necesarias en orden a asegurarse que los procedimientos instaurados para tramitar las bajas en el envío de comunicaciones publicitarias funcionaban correcta y efectivamente, considerándose que el argumento de la buena fe resulta insuficiente en atención a la diligencia que le resulta exigible como empresa habituada a la remisión de envíos publicitarios por medios de comunicación electrónica, debiendo, por tanto, velar por el cumplimiento de los derechos de los destinatarios de tales mensajes recogidos en la LSSI, causa por la que debió actuar con más prudencia para justificar la legalidad de su conducta.”
La sanción no fue mayor, ya que la AEPD valoró como circunstancias atenuante la ausencia de intencionalidad, o que hubieses ocasionado perjuicios relevantes al denunciante o generado beneficios a la empresa imputada como resultado de los envíos.
Aunque en la resolución podemos ver que aunque la entidad denunciada manifestó que: “disponemos de protocolo interno de atención a cualquier solicitud ARCO referenciada al email […] o por correo ordinario, con personas responsables y sistemas de comunicación. En esta ocasión y debido a que la empresa en esas fechas estaba inmersa en cambios estructurales se ha demorado en el tiempo proceder a la cancelación de los datos solicitada por la denunciante. Entienden que ha habido una demora en el tiempo de ejecución de la mencionada cancelación.”
En definitiva, aunque la entidad manifestó su error al no atender la petición, alegando estar en un momento de cambios internos, no le valió para librarse de la sanción, por eso insistimos a nuestros clientes que si han realizado un proyecto de adecuación normativo riguroso, y por tanto han implementado un procedimiento de respuesta y actuación ante el ejercicio de derechos ARCO, que presten especial atención a los mismos al igual que con la gestión de las suscripciones a los boletines o newsletter,
Seguir los procedimientos que hemos implementado y se encontrarán recogidos en nuestro documento de seguridad es vital para cumplir tanto la LOPD como de la LSSI y de paso trasmitir una imagen de garantías a nuestros clientes y a los potenciales a los que nos queremos acercar.
Puedes encontrar más información acerca de los derechos ARCO en este artículo que tenemos publicado: Como cancelar tus datos personales. Si te envían correos y no te hacen caso, mejor habla con el “primo de Zumosol”
Photo credit: City of Boston Archives / Foter / CC BY-SA
En esta ocasión queremos hablaros de una sanción que la Agencia Española de Protección de Datos (AEPD) ha impuesto a dos empresas, una que actuaba como responsable de fichero y otra como encargada de tratamiento de la anterior. El motivo de la sanción es el incumplimiento del deber de información regulado en el art. 5 de la Ley de Protección de datos (LOPD).
La primera de ellas, responsable del fichero, encomendó a la segunda, encargada de tratamiento, la gestión de los servicios de “Call Center” de ésta.
En su defensa inicial, el responsable del fichero y el encargado de tratamiento alegaron que la LOPD no les es aplicable porque tratan datos de entidades jurídicas, y en su caso, de las personas que trabajen para estas entidades, por lo que les sería de aplicación la excepción del art. 2.2 del Reglamento que desarrolla la LOPD (RDLOPD). Pero a lo largo del procedimiento se ha demostrado que se trataban datos de otras personas como familiares o cualquier persona que llamase al “Call Center” con motivo de la relación con la responsable del fichero y se atendían llamadas por personas interesadas en adquirir vehículos de ocasión, siendo desestimada dicha excepción del art. 2.2 del RDLOPD
Partió del representante sindical que denunció que si bien las llamadas recibidas por el “Call Center” se grababan por acuerdo entre las partes, posteriormente el encargado de tratamiento, y por su cuenta envió un correo electrónico a los coordinadores del servicio diciendo a sus empleados que no se debía informar a los llamantes de que las conversaciones eran grabadas.
La resolución pone de manifiesto que: “Es al responsable del fichero y tratamiento, a quien corresponde adoptar las cautelas para el cumplimiento de los mandatos de la LOPD y su inobservancia le hace responsable del tratamiento de datos objeto de de la denuncia, con independencia de la actuación del encargado del tratamiento” añadiendo que “no ha aportado elementos de juicio suficientes que permitan entender que dio instrucciones precisas al respecto y no había previsto ningún mecanismo ni establecido ningún control al respecto, ni una obligación cierta, expresa y determinada”
Esta corresponsabilidad, viene marcada en la sentencia que establece: “Sobre este particular decir que interpreta el art. 12.4 de la LOPD la sentencia de 14/03/2007 Recurso 280/2005, que haciéndose eco de la anterior Sentencia de 13/04/2005 Rec.241/2003, establece que lo que determina la LOPD en el mismo es que si el encargado del tratamiento destina los datos a una finalidad distinta a la indicada, los comunica o los utiliza incumplido las estipulaciones del contrato “… “será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.
“El término “también” deja claro que no se establece allí un mecanismo de sustitución ni de derivación de responsabilidades sino de agregación, pues el responsable del tratamiento no pierde su condición de tal, ni queda exonerado de responsabilidad por el hecho de que al encargado del tratamiento, que incumpla lo estipulado, se le atribuya “también” la consideración de responsable del tratamiento…”
En definitiva, aunque el encargado de tratamiento por propia iniciativa es responsable de haber dado instrucciones específicas y expresas a sus trabajadores para que no informen sobre las grabaciones, el responsable del fichero o tratamiento responderá de las infracciones cometidos con motivo del encargo, aunque el encargado del tratamiento haya incumplido sus instrucciones, por no vigilar que esté cumpliendo con la normativa sobre protección de datos.
Si queréis más información sobre este procedimiento lo podéis consultar en este enlace.
Desde Eurovima, recomendamos a las empresas regular muy bien las relaciones con los terceros con los que contratamos nuestros servicios y que traten/accedan a datos personales de los que somos responsables, como puedan ser asesores, hosting, informáticos, “Call Center”… y sobre todo que seamos “diligentes” a la hora de elegirlos, cuestión que genera controversia en materia LOPD, al ser un argumento que ha empleado en distintas ocasiones y sobre el que ya hemos hablado: “Nube” o Cloud Computing. Seamos diligentes…
