Noticias

Sanciones

Diez ejemplos ilustrativos de sanciones anteriores al segundo semestre de 2021

Desde la entrada en vigor del RGPD el 25 de mayo de 2018, la Agencia Española de Protección de Datos (“AEPD”) ha dictado más de 650 procedimientos sancionadores basándose en dicha normativa, de los cuales algo más de un tercio han terminado en multa.

Multa n.º 1: 8.150.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00059/2020
Infracción: Artículo 28 del RGPD en relación con el artículo 24 del RGPD. Artículo 44 del RGPD. Artículo 21 de la LSSICE. Artículo 48.1.b) de la LGT en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD
Fecha de publicación: 11 de Marzo de 2021
Motivo de la reclamación:

Durante meses, el reclamado realizó directa e indirectamente (a través de agentes comerciales) una actividad de mercadotecnia y prospección comercial mediante llamadas telefónicas y envío de e-mails y SMS que infringió distintas normas legales.

Multa n.º 2: 6.000.000 euros
Reclamado: CaixaBank, S.A
Procedimiento Sancionador: PS/00477/2019
Infracción: Artículos 13 y 14 del RGPD. Artículo 6 en relación con el artículo 7 del RGPD y artículo 6 de la LOPDGDD
Fecha de publicación: 13 de Enero de 2021
Motivo de la reclamación:

Los distintos contratos y la política de privacidad utilizados por el reclamado para la recogida y tratamiento de datos personales incumplen el derecho de información de los interesados. Asimismo, las bases jurídicas del consentimiento y el interés legítimo utilizadas por el reclamado para diversos tratamientos de datos no son válidas.

Multa n.º 3: 5.000.000 euros
Reclamado: Banco Bilbao Vizcaya Argentaria, S.A.
Procedimiento Sancionador: PS/00070/2019
Infracción: Artículos 6, 13 y 14 del RGPD
Fecha de publicación: 13 de Enero de 2021

Motivo de la reclamación:

El formulario de recogida de datos personales del reclamado incumplió el derecho de información de los interesados. Asimismo, las bases legales empleadas por el reclamado para el tratamiento de datos (el consentimiento y el legítimo interés), no eran válidas.

Multa n.º 4: 600.000 euros
Reclamado: Air Europa Líneas Aéreas, S.A.
Procedimiento Sancionador: PS/00179/2020
Infracción: Artículos 32.1 y 33 del RGP
Fecha de publicación: 18 de Marzo de 2021
Motivo de la reclamación:

El reclamado tuvo conocimiento de una brecha de seguridad de datos personales el 17 de octubre de 2018. Sin embargo, el reclamado comunicó a la AEPD dicha brecha de seguridad el 28 de noviembre de 2018, infringiendo el plazo de 72 horas establecido por el RGPD para comunicar una brecha de seguridad a la autoridad de control. Asimismo, las medidas de seguridad técnicas y organizativas implantadas por el reclamado no eran apropiadas para garantizar un nivel de seguridad adecuado al riesgo e impedir un acceso no autorizado a los datos de los clientes.

Multa n.º 5: 250.000 euros
Reclamado: Liga Nacional de Fútbol Profesional
Procedimiento Sancionador: PS/00326/2018
Infracción: Artículo 5.1.a) del RGPD
Fecha de publicación: 20 de agosto de 2019
Motivo de la reclamación:

La creación por el reclamado de una aplicación móvil que podía captar de forma indiscriminada sonido ambiente del lugar donde se encontrara el usuario. Esto podía implicar la captación de conversaciones con terceros que podrían desvelar datos personales.

Multa n.º 6: 200.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00430/2020
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 11 de Febrero de 2021
Motivo de la reclamación:

El reclamante manifiesta que sigue recibiendo correos electrónicos del reclamado a pesar de haber sido sancionado por estos mismos hechos en los procedimientos sancionadores PS/00278/2019 y PS/00186/2020.

Multa n.º 7: 200.000 euros
Reclamado: I-De Redes Eléctricas Inteligentes, S.A.U. (I-De)
Procedimiento Sancionador: PS/00197/2020
Infracción: Artículos 5.1.b) y c) y 6.1.b) del RGPD
Fecha de publicación: 1 de marzo de 2021
Motivo de la reclamación:

El reclamado envió cartas informativas de presuntos incumplimientos contractuales de la empresa comercializadora (la reclamante), a los consumidores finales, rogándoles además que se pusieran en contacto con la entidad comercializadora para que ésta “procediera a la subsanación del problema”. Es decir, el reclamado realizó un tratamiento de datos personales de los clientes del reclamante sin estar legitimado para ello, y para una finalidad distinta de la que tenía autorización.

Multa n.º 8: 150.000 euros
Reclamado: Xfera Móviles, S.A.
Procedimiento Sancionador: PS/00448/2020
Infracción: Artículos 5.1.f), 17 y 32 del RGPD y artículo 21 de la LSSI
Fecha de publicación: 9 de Marzo de 2021
Motivo de la reclamación:

El reclamado continuó enviando SMS publicitarios al teléfono del reclamante (más de 60 SMS en 30 días) sin su consentimiento, y pese a que el reclamante había ejercido el derecho de supresión de sus datos personales. El reclamado también envió al reclamante SMS con información confidencial de terceras personas. Esta información permitió al reclamante acceder a datos personales y facturas de un tercero ajeno a él.

Multa n.º 9: 120.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00144/2019
Infracción: Artículo 6.1 del RGPD
Fecha de publicación: 19 de septiembre de 2019
Motivo de la reclamación:

El reclamado tenía contratado a nombre del reclamante varios servicios los cuales este no había contratado.

Multa n.º 10: 120.000 euros
Reclamado: Vodafone España, S.A.U.
Procedimiento Sancionador: PS/00235/2019
Infracción: Artículos 6.1.a) y 5.1.a) del RGPD
Fecha de publicación: 27 de febrero de 2020
Motivo de la reclamación:

La recepción del hijo menor de edad del reclamante de una carta del reclamado en la que le comunicaba que había contraído con ellos una deuda de 93,77 euros y que en el caso de impago se procedería a su inclusión en una lista de morosos.

Conclusión:

A la vista de los datos, podemos concluir que:

• Seis de las infracciones del ranking están relacionadas con la falta de licitud del tratamiento de datos personales (Art. 6 del RGPD).
• Las sanciones a los dos bancos están relacionadas con el incumplimiento del deber de información (Arts. 13 y 14 del RGPD), que da a su vez lugar a la infracción de la licitud del tratamiento (Art. 6 del RGPD) en los casos en los que se utiliza el consentimiento como base legal para el tratamiento, al estar el consentimiento del interesado viciado por la falta de información.
• Vodafone España S.A.U. acapara el 40% de las multas del ranking, incluido el primer puesto.
• Las empresas del sector de telecomunicaciones representan el 50% de las multas del ranking.

Nota: En relación a las sanciones aquí mencionadas, no se ha tenido en consideración los descuentos aplicados en su caso por el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas por reconocimiento de responsabilidad y por el pago voluntario de la multa.

Sanciones

Multa a Gimnasio que cambió a sistema de huella dactilar (Infracción art 4 LOPD)

La Agencia Española de Protección de Datos (AEPD) ha multado con la cuantía de 1.500 euros a un gimnasio de Murcia por incumplir la Ley de Protección de Datos de Carácter Personal (LOPD), tras la denuncia presentada por uno de sus socios.

El gimnasio cambió el sistema de entrada al centro que anteriormente se realizaba mediante una pulsera con chip, por un sistema de huella dactilar, sin ofrecer otro medio alternativo. Según considera el denunciante, este medio es desproporcionado y asegura que no se le remitió un documento de conformidad para la recogida de sus datos biométricos. A su modo de ver, no se le puede obligar a proporcionar estos datos, por ser contrario a la LOPD.

En un primer momento la Agencia dictó una sanción de 5.000 euros al gimnasio murciano por incumplir el artículo 4.1 de la LOPD, que establece: “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

Tras las alegaciones presentadas por el denunciado, finalmente la sanción queda reducida a 1.500 euros. La Agencia considera que el tratamiento de los datos de reconocimiento de huella de usuarios de gimnasio para control de acceso por su titular y siendo el único medio de acceder, el gimnasio utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y las finalidades determinadas, incumpliendo así el citado artículo de la LOPD.

Multa de 40.000 € a  ORANGE ESPAGNE por incluir sus datos en ficheros de solvencia patrimonial y de crédito sin cumplir los requisitos legales (Infracción del art 4.3 LOPD)

En caso de una deuda objeto de controversia, porque el titular de los datos considera legítimamente que no debe lo que se le reclama, la falta de pago no es indicativa de la insolvencia del afectado. Puede que la deuda resulte finalmente cierta y por tanto pueda considerarse como un dato veraz. Pero no era un dato pertinente y proporcionado a la finalidad del fichero automatizado, porque este no tiene por finalidad la simple constatación de las deudas, sino la solvencia patrimonial de los afectados. Por ello solo es pertinente la inclusión en estos ficheros de aquellos deudores que no pueden o no quieren, de modo no justificado, pagar sus deudas, pero no aquellos que legítimamente discrepan del acreedor respecto de la existencia y cuantía de la deuda.

El fallo indica que la inclusión de los datos personales de un titular en los registros de morosos "puede interpretarse como una presión ilegítima para que la demandante pagara una deuda que había cuestionado, sin que existan datos que permitan considerar abusiva o manifiestamente infundada la conducta del titular.

Renfe Operadora (Infracción LOPD)

Tal y como indicaba la última memoria de la Agencia Española de Protección de Datos (AEPD), el número de sanciones establecidas por un mal uso de los sistemas de video vigilancia ha incrementado notablemente.

En esta ocasión, RENFE ha sido una de las últimas compañías sancionadas en relación a este tema. La denuncia llegaba de la mano de la Guardia Civil que alertaba sobre posibles infracciones en materia de video vigilancia en varias estaciones de la red de cercanías.

La Agencia, por su parte, abrió un proceso de investigación en donde se examinaron más de 50 cámaras. La AEPD constató finalmente la inexistencia de carteles informativos, así como la captación de imágenes de manera excesiva. De la información aportada se desprende que las cámaras exteriores situadas en las zonas de parking y dado que disponen de zoom y movimiento, pueden recoger imágenes de espacios públicos con acceso indiferenciado a personas y vehículos, permitiendo identificar matriculas de vehículos, personas que se bajen de dichos vehículos y personas que accedan a pie a las estaciones, con independencia de que dichos espacios sean o no titularidad de ADIF, gestionados en cuanto a cámaras por RENFE OPERADORA (entidad que gestiona el servicio)

De este modo, ha quedado demostrado que las cámaras captan toda la extensión de los distintos aparcamientos registrando imágenes en donde se pueden identificar a personas y vehículos. Es por ello que tras una infracción del artículo 6.1 de la LOPD, la Agencia ha impuesto a RENFE una multa de 40.001 €.

Euro Crédito (Infracción LOPD)

Imposición de sanción a la entidad Euro Crédito por el envío de un correo electrónico exigiendo el pago de un recibo atrasado. Vulneración del deber de secreto al incluir en el correo el listado de un gran número de clientes en la misma situación. Obligación de secreto profesional en todas las fases del tratamiento de datos por parte del responsable del fichero. Filtración de datos no consentida por los titulares de los mismos. Inobservancia de las medidas de seguridad exigibles. Imposición de sanción por la comisión de una infracción leve.
El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad EURO CREDITO E.F.C, S.A SOCIEDAD UNIPERSONAL, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 40.000 €.

Turner Broadcasting España SL (Infracción LOPD)

Con fecha 1 de febrero de 2011 se recibe en el registro de la AEPD escrito de reclamación de D. A.A.A., en el que pone de manifiesto que durante el mes de diciembre de 2010 y comienzos de enero de 2011, el canal infantil de televisión TDT BOING promocionaba la asistencia a la Cabalgata de Reyes en una carroza patrocinada por la cadena. Para participar en el concurso, se debía cumplimentar un formulario disponible en la web www.boing.es, el cual recogía datos personales de menores puesto que en las bases de la promoción figuraba que iba dirigido a niños entre 7 y 12 años, no obstante, no se solicitaba el consentimiento del tutor legal ni se facilitaba claramente la finalidad de la recogida ni la información necesaria para ejercitar los derechos ARCO. Adjunta a la reclamación aportó, entre otra documentación, impresión de la página web www.boing.es donde constan los términos y condiciones de uso de la mencionada página y en la que figura que la entidad titular de la misma es TURNER BROADCASTING SYSTEM, así como impresión del formulario de participación en el concurso de la cabalgata de reyes junto con sus términos y condiciones, entre las que figura que para poder ganar el premio es necesario tener entre 7 y 12 años. Con carácter general, el registro de usuarios en la web www.boing.es obliga a la confirmación de los datos por el padre o tutor cuando se indica que es menor de 16 años, para ello se remite un correo electrónico a la dirección indicada como dirección de correo del padre/tutor, en el que se informa que se debe confirmar el registro. Una vez confirmado, se devuelve el mensaje de que "su hijo/a ha sido registrado en Boing.es La información recabada, objeto de la denuncia, no se registró en el fichero general de usuarios de la web www.boing.es sino en un fichero en formato EXCEL para el uso exclusivo de esta promoción. A este respecto, se comprobó que en la promoción de la CABALGATA DE REYES DE MADRID, el sistema ofrece una información sobre los términos y condiciones de la promoción, entre las que figura que es necesario tener entre 7 y 12 años para participar. Y solicita la cumplimentación de un formulario con los datos personales de: nombre, apellidos, dirección, ciudad, provincia, código postal, edad, dirección de mail y teléfono. Una vez cumplimentados los datos, el sistema devuelve el mensaje de "Gracias por participar, buena suerte". Asimismo, se verificó que, asociado al citado formulario, no existe ninguna opción para solicitar la autorización del padre/madre/tutor ni consta información en relación con lo establecido en la LOPD, en concreto sobre el art. 5 de la LOPD. Por todo ello, queda acreditado el tratamiento de datos de menores de edad, sin el consentimiento de sus tutores, por parte del denunciado, entre ellos, el nombre, apellidos, dirección, ciudad, provincia, código postal, edad, email, teléfono etc. El director de la Agencia Española de Protección de Datos resolvió imponer a Turner Broadcasting España SL por la infracción del artículo 6.1 de la LOPD, tipificada como grave, una multa de 20.000 €.

SABERLOTODO INTERNET SL (Infracción LOPD)

SABERLOTODO INTERNET, S.L. por un incumplimiento de la obligación de inmovilización del fichero “DOMICILIOS” acordada por el Director de la Agencia Española de Protección de Datos conforme a lo dispuesto en el artículo 37.1.f) de la LOPD, en relación con el artículo 49 de la misma norma, que implica la obligación de cesar en la utilización y cesión de los datos de carácter personal registrados en dicho fichero, así como la de adoptar las medidas oportunas para que el acceso por parte de terceros a la información que contiene quedase imposibilitado; infracción tipificada como muy grave en el artículo 44.4.d) de la LOPD, por lo que el director de la Agencia Española de Protección de Datos resolvió imponer a SABERLOTODO INTERNET, SL una multa de 600.000 €. Figura cerrada la entidad o dada de baja en el Registro desde 2013.

http://www.elpais.com/elpaismedia/ultimahora/media/201112/19/sociedad/20111219elpepusoc_1_Pes_PDF.pdf

Hoteleria i Restauració Schwaven (Infracción LOPD)

Con fecha 23/07/2010, tuvo entrada en la AEPD una denuncia de A.A.A. frente a Hoteleria i Restauració Schwaven situado en Platja de Aro, Girona precisando que en noviembre 2009 “me di de alta como socio del spa-gimnasio del Hotel Nautic Park”, sin ofrecerme información en cuanto a los datos proporcionados, información alguna, comprobando que dicha empresa tan solo tiene inscrito el fichero de “Gestión laboral”

Tras la comprobación por parte de los inspectores de la AEPD, quedó acreditado con la falta de inscripción de ficheros por parte de la denunciada, que, en la fecha en que se denunciaron los hechos, no figuraba inscrito fichero alguno por parte de su responsable, acreditándose el incumplimiento de dicha inscripción con posterioridad.

El director de la Agencia Española de Protección de Datos resolvió imponer a Hotelería I Restauració Schwaven por la infracción del artículo 26 de la LOPD, tipificada como leve, una multa de 3.000 €.

MÁS NOTICIAS EN EL BLOG DE ATEA COMPLIANCE

JORNADAS PREVENCIÓN BLANQUEO DE CAPITALES

Día: 18 de marzo de 2013
Hora: 19:00 h.
Lugar: Salón de actos del Colegio Oficial de Graduados Sociales de Salamanca
Ponente: D. Roberto Crespo Rodríguez

Día: 14 de febrero de 2013
Lugar: Salón de actos del Colegio Oficial de Graduados Sociales de Zamora
Ponente: D. Roberto Crespo Rodríguez