Primeras resoluciones sancionadoras de la Agencia Española de Protección de Datos con el RGPD
Aunque con anterioridad ya habían aparecido publicadas en la web de la AEPD resoluciones tanto de archivo como de reclamaciones de derechos (las antiguas tutelas de derechos), en los últimos días se han publicado las primeras resoluciones sancionadoras, tanto con multas económicas como las referentes a apercibimientos.
En este post, haremos un resumen de las mismas, ya que en algunos casos, sobre todo en las sancionadoras de apercibimientos, empiezan a desprenderse criterios. Y terminaremos, a modo de homenaje de la ya derogada LOPD, con dos resoluciones sancionadoras aplicando la misma, ya que aunque desde el 25 de mayo de 2018 ya es aplicable el RGPD, las reclamaciones que entraron antes de esa fecha se han tramitado conforme a la normativa anterior.
Sancionadoras con multas
Ambas son a la misma empresa, Vodafone, que además, empieza a ser la empresa que más reclamaciones sufre en materia de protección de datos.
La primera, el PS/00331/2018, un “clásico” como es “enviar” a una persona a un fichero de morosidad (solvencia patrimonial) aunque haya interpuesto una reclamación ante la deuda. La multa de 5.000 euros por infringir el principio de exactitud de datos regulado por el artículo 5.1.d) del RGPD.
Como atenuantes del artículo 83 del RGPD, se considera que a esta persona se le “envió” al fichero de morosidad sólo tres días antes de que resolviese la SETSI (o como se llame ahora, ya que a esta Secretaria de Estado cada vez que hay un cambio de gobierno se le modifica el nombre); se rectifican las facturas reintegrando los importes indebidamente facturados; y la cooperación con la autoridad de control para poner remedio a esta infracción.
Como agravantes del mismo precepto, no se menciona ninguno.
La segunda, el PS/00411/2018, una persona recibe más de 200 SMS pese a que había ejercitado el derecho de cancelación en el año 2015. Al parecer, su número de móvil aparecía asociado a otros clientes. La sanción también es fruto de vulnerar el artículo 5.1.d) del RGPD, siendo la multa económica de 45.000. No obstante, Vodafone reconoce su responsabilidad y realiza el “pronto pago” (pago voluntario) así como el reconocimiento de responsabilidad, por lo que se reduce la cuantía a 27.000 euros.
Como atenuantes, que el dato tratado de forma errónea ha sido únicamente el número de móvil del afectado, que aunque le ha producido molestias no así perjuicios; no existe en la conducta dolo ni intencionalidad sino falta de diligencia; se valora también lo referente a las medidas técnicas u organizativas de los artículos 25 y 32 del RGPD; y al igual que en el caso anterior, el grado de cooperación con la autoridad de control.
Como agravantes, que se había cometido una infracción anterior de la misma característica (se citan dos) pero al no ser de gran relevancia no se considera que deba tener gran significación; así como el carácter continuado de la infracción conforme a lo dispuesto en el 76.2. k) de la LOPDGDD.
Conclusiones:
a.- La AEPD no se ha vuelto loca a la hora de imponer sanciones, de forma que lo que antes era, por ejemplo, 40.000 no se convierte en 3 millones de euros, aunque el RGPD establezca que pueda alcanzar hasta los 20 millones (o 4% de volumen de negocio). Además que, desde nuestro punto de vista, tampoco se podría hacer.
b.- Lo anterior sirva de mensaje para aquellos que se han dedicado a campañas agresivas del tipo “Cumpla con el RGPD o le multan con 20 millones de euros”.
c.- A partir de ahora, y de forma más clara respecto al régimen anterior, veremos una valoración entre agravantes y atenuantes regulados por el RGPD y la LOPDGDD a la hora de determinar las sanciones económicas. Lo hemos bautizado como “el sistema ascensor”.
d.- Por si alguno le quedaba alguna duda, y como no podía ser de otra forma, se siguen aplicando las “rebajas” a las sanciones económicas: reducción 20% por reconocimiento de responsabilidad / reducción 20% por pago voluntario (“pronto pago”).
e.- Aunque la protección de datos se aplica a las personas físicas, la SETSI (o como se llame) debería ejercitar el derecho de oposición para que no le cambien constantemente el nombre.
f.- El tema de morosidad tendría que ser de consumo. Ya lo hemos comentado alguna vez en este blog. Es una mera opinión personal.
Sancionadoras con apercibimientos
Hemos encontrado hasta un total de 20 resoluciones, si bien la mayoría de ellas se refieren a dos “clásicos”, videovigilancia y envío de correos electrónicos sin copia oculta. Sobre el resto, destacan las que se refieren al tratamiento de datos de menores.
1.- Videovigilancia.
Son un total de 11.
A saber, como si fuese un equipo de fútbol, la alineación es la siguiente: PS/00022/19; PS/00334/18; PS/00335/18; PS/00347/18; PS/00348/18; PS/00354/18; PS/00375/18; PS/00376/18; PS/00378/18; PS/00384/18; y PS/00418/18.
En todas ellas, se denuncia que las cámaras graban parte de la vía pública. En una, además de lo anterior, que carece de cartel informativo.
Conclusiones:
a.- Si se trata de una empresa pequeña (hay por ejemplo un bar o una taberna entre los denunciados) o particulares que hayan instalado cámaras grabando la vía pública, se les apercibirá, indicándoles que reorienten las cámaras de tal forma que no graben dicha vía. También cabe la posibilidad que cuando se les haya comunicado la apertura del expediente, en las alegaciones ya hayan hecho constar que han reorientado las cámaras, aunque seguirá existiendo la resolución sancionadora de apercibimiento.
b.- Veremos si cuando se trate de una gran empresa (por ejemplo con la LOPD el Corte Inglés) la sanción por apercibimiento se cambie por la de carácter económico.
c.- Existen varias resoluciones en las que el denunciando no ha contestado a la comunicación de apertura de expediente, y ni siquiera ha presentado alegaciones. La AEPD, si bien no valora a efectos de agravante la cooperación con la autoridad de control, ya que al final termina siendo un apercibimiento, si lo hace constar al final de la resolución, en una especie de “mensaje en clave”: “la próxima vez te cae la sanción económica, y mira que te avisé”.
d.- En alguna de estas resoluciones se cita la Instrucción 1/2006 como si todavía estuviese vigente. Desde nuestro punto de vista, con la entrada en vigor de la LOPDGDD, estaría derogada.
e.- De acuerdo que en la vía pública sólo pueden grabar las Fuerzas y Cuerpos de Seguridad, pero en el tema de las terrazas, cuando se está pagando por ocupar la vía pública, debería de darse una vuelta al citado tema. Puede leerse al respecto la resolución PS/00354/18.
f.- Y sí, al igual que en el tema de morosidad, consideramos que la videovigilancia no tendría que ser un tema de protección de datos sino de la policía local (sancionable en todo caso por los Ayuntamientos).
e.- “Bonus track”: aunque se trata de una resolución de archivo (E/01452/19), ni el RGPD ni la LOPDGDD suponen la vuelta a la aplicación de la “doctrina carcasa” o “doctrina geppetto”: la instalación de cámaras falsas no es sancionable desde el punto de vista de protección de datos.
2.- Envío de correos electrónicos sin copia oculta.
Son sólo dos, el PS/00040/2019 y el PS/00405/18.
Ambas se caracterizan por lo mismo: no gran número de direcciones comunicadas en abierto (4 y 22); pequeñas empresas; y ninguna de ellas habían sido comunicadas a la AEPD como brechas de seguridad.
3.- Brechas de seguridad.
Además de los dos casos citados anteriormente, existen tres resoluciones que podrían también calificarse como brechas de seguridad, y que según se desprende de ambas tampoco habían sido comunicadas como tales brechas a la AEPD.
La primera, que es la más conocida, ya que ha salido publicada en medios de comunicación (PS-00431-2018), sobre dos tiendas de móviles en las que cuando se utilizaban los terminales que estaban expuestos a disposición de los potenciales clientes, se podía acceder a datos personales de empleados y clientes.
Según la resolución, la empresa adopta medidas como el nombramiento de un delegado de protección de datos, o la impartición de formación a los trabajadores. También se adoptan otras medidas organizativas y técnicas.
La segunda, pues otro “clásico”: documentos con datos personales en la basura. En esta ocasión, el denunciado es una sociedad cooperativa que gestiona un colegio. Según esta resolución PS/00002/19, la documentación eran exámenes, nombres y apellidos de los alumnos, y notas.
La sociedad cooperativa adopta una serie de medidas al respecto como contratar una empresa para retirada y destrucción de documentos así como otra para que imparta formación.
Pero, y ahora vienen las sorpresas, también se produce:
-La dimisión de la directora del centro.
-Y la revocación de todos los cargos del Consejo Rector del Centro.
Dicho de otra forma: “Y la protección de datos se cargó a toda la junta directiva”.
Finalmente, la tercera versa sobre la comunicación de los datos de nombre, apellidos, domicilio, NIF, teléfono, dirección correo electrónico y lugar de trabajo de un socio al resto de socios de un club deportivo (PS/00037/2019).
Sobre este socio se estaba tramitando un expediente disciplinario. Una vez recibida la oportuna comunicación de la AEPD, este club decide anular la sanción que había impuesto a este socio así como comunicar al resto de socios. que devolviesen la información facilitada con los datos personales del citado socio.
4.- Imágenes de menores.
También dos resoluciones.
La primera, PS/00391/18, sobre la realización de una fotografía de un menor de 5 años sin consentimiento de quien ostenta la patria potestad en una feria de atracciones. La empresa denunciada, no contesta al requerimiento previo hecho por la AEPD. Por cierto, tanta “chapa” con la protección de datos de los menores, y resulta que la vulneración del artículo 8 del RGPD le corresponde hasta 10 millones de euros (y no 20). Curioso y bastante llamativo.
La segunda, un AMPA (PS/00089/19) que ha realizado fotos de menores, también sin consentimiento, para comercializar unos calendarios. Aquí sí se contesta al requerimiento adoptando una serie de medidas, entre ellas, que se solicitará el consentimiento a partir de ahora.
5.- Publicación de datos en web.
Y las dos últimas, que versan sobre la publicación de datos en Internet.
El PS/00054/19, se refiere a un antiguo trabajador cuya imagen seguía apareciendo en la página web de su anterior empresa, la cual había dejado de prestar sus servicios dos años atrás. La empresa elimina dicha imagen.
La otra, PS/00358/18, sobre la publicación en una web de una Asociación de una sentencia estimatoria de un recurso en el ámbito judicial militar sin estar anonimizados los datos personales (nombre, apellidos y NIF), que si bien no remite alegación alguna, termina finalmente como apercibido.
Los resquicios de la LOPD
Como indicábamos al principio, hemos querido destacar dos resoluciones que aunque siendo ya aplicable el RGPD, como la denuncia había entrada con anterioridad, se ha aplicado nuestra querida y derogada LOPD.
Estas dos resoluciones son:
-PS/00338/18: según el denunciante han utilizado su nombre, domicilio y cuenta bancaria para cobrarle la adquisición de un collar de oro, que como encima eran tan “sólo” 1991,88 euros pues ha acabado en un fichero de morosos. Alguien le ha suplantado. Pero la empresa que le gira el cobro del collar, acaba con una propuesta de resolución de multa de 52.000 euros (28.000 por vulnerar el consentimiento + 24.000 por vulnerar el principio de calidad en relación con los ficheros de morosidad). ¿Qué se puede hacer al respecto? Pues pronto pago, y al menos se queda, por ahora, en 41.600 euros.
-PS/00340/18: se trata del típico caso de sanción por no cumplir con los requisitos para enviar a una persona (la deuda era de casi 3.000 euros) a un fichero de morosidad. La sanción es únicamente de 2.500 euros ya que se trata de una empresa pequeña (un semillero). De hecho, según su web, entre sus actividades, se encuentra la crianza de injertos de tomate, berenjena, pimiento, melón, sandía y pepino.