Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Expedientes sancionadores. Casos reales (Parte I)

El mal cumplidor siempre tiene interés por conocer las sanciones, si bien lo más fácil es cumplir y evitar preocupaciones.

En este artículo les resumiré varios casos reales de expedientes sancionadores:

1º) Inclusión del denunciante en un fichero de morosos desconociendo que actuaba como avalista en una operación de microcrédito. Multa: 100.000 €.

Una persona, desconocida para el denunciante, le presenta –de forma fraudulenta– como avalista en una operación de microcrédito.

Al no devolver el prestatario ese microcrédito, la entidad prestamista, incluyó los datos personales del denunciante (supuesto avalista) en dos ficheros de morosos (Asnef y Badexcug) por una deuda total de 568 €. Como el prestatario puso una dirección falsa del denunciante en el contrato de microcrédito, este no recibió ninguna comunicación de su inclusión en dichos ficheros, teniendo conocimiento de los hechos porque su banco le niega un préstamo hipotecario.

https://www.aepd.es/es/documento/ps-00615-2016.pdf

2º) Inclusión del denunciante en un fichero de morosos siendo la deuda inexistente. Multa: 80.000 €.

TELEFÓNICA MÓVILES ESPAÑA, S.A.U. incluyó los datos personales del denunciante en un fichero de morosos (ASNEF) por una deuda inexistente, pues había sido anulada por un laudo arbitral.

https://www.aepd.es/es/documento/ps-00091-2018.pdf

3º) Tratamiento de datos personales para alta en un contrato de suministros sin conocimiento de su titular. Multa: 100.000 €

VODAFONE ONO, S.A.U. trató sin consentimiento los datos personales de la denunciante (nombre y apellidos, DNI, domicilio y dirección de correo electrónico).

Dichos datos personales se utilizaron para contratar a nombre de la denunciante el alta de una línea telefónica, habida cuenta de que el consentimiento para dicha contratación no fue otorgado por ella, sino por una tercera persona, significándose que la entidad conocía dicha irregularidad en el momento de efectuarse la contratación.

https://www.aepd.es/es/documento/ps-00482-2017.pdf

4º) Publicidad comercial habiéndose obtenido los datos personales del censo electoral. Multa: 100.000 €

TODO DATA INTEGRAL SERVICES, S.L. realiza una campaña publicitaria para SERVICIOS MÉDICOS PROFESIONALES, S.L. a partir de datos personales obtenidos del Padrón Municipal. 

TODO DATA INTEGRAL SERVICES, S.L. es sancionada con 100.000 € ante la ausencia de consentimiento para el tratamiento de datos personales por parte de los destinatarios de dicha campaña publicitaria.

El Padrón Municipal no tiene la consideración de fuente accesible al público. Sólo podrán utilizarse en el ámbito de las competencias de las Administraciones destinatarias de los mismos.

https://www.aepd.es/es/documento/ps-00052-2012.pdf

5º) Envió de mensajes publicitarios sin solicitud previa ni relación comercial. Multa: 26.000 €.

Se cursa reclamación contra CAIXABANK CONSUMER FINANCE, S.A. por el envío de cuatro mensajes de texto (SMS), no consentidos ni autorizados, de contenido comercial a la línea de telefonía móvil del denunciante, tres correos electrónicos y dos comunicaciones de publicidad postal a su domicilio, también no consentidas.

En el contrato de crédito firmado entre CAIXABANK CONSUMER FINANCE, S.A. y el reclamante, este había marcado expresamente la casilla en la que no autorizaba el tratamiento de sus datos personales a efectos comerciales y para la oferta de productos, autorizando el tratamiento de sus datos personales única y exclusivamente a los efectos imprescindibles para el perfeccionamiento del contrato de crédito.

https://www.aepd.es/es/documento/ps-00240-2018.pdf

Por hechos similares, en Italia la autoridad de control (Garante per la protezione dei dati personali) impuso a una compañía de telefonía móvil (TIM SpA) por una campaña de llamadas publicitarias sin el consentimiento de los destinatarios, incluso a personas que estaban inscritos en la Lista Robinson, o que habían ejercido su derecho de oposición, una multa de 27.802.946 €. Haciendo clic aquí pueden consultar la resolución.

6º) Captación de imágenes de la vía pública a través de las cámaras de videovigilancia. Multa: 40.001 €

Las cámaras de la entidad denunciada captan imágenes de espacios públicos de las personas que circulan por la vía pública permitiendo su identificación.

Recuerden que las videocámaras deberán orientarse de tal modo que su objeto de vigilancia sea el entorno privado y la captación de imágenes de la vía pública sea la mínima imprescindible.

https://www.aepd.es/es/documento/ps-00630-2012.pdf

7º) Establecer una política de cookies inadecuada. Multa: 30.000 €

La web denunciada tenía el siguiente aviso legal en relación al uso de cookies: “Este sitio web utiliza cookies para mejorar su experiencia. Asumiremos que está de acuerdo con esto, pero debe aceptar para continuar”. La web no facilitaba un panel de configuración de cookies que permitiese al usuario eliminarlas de forma selectiva. La información ofrecida sobre las herramientas proporcionadas por los diferentes navegadores es insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.

Utilizar cookies sin facilitar la debida información al destinatario o sin obtener su consentimiento en los términos exigidos por el artículo 22.2 LSSICE, está tipificado como infracción leve en el artículo 38 apartado 4 letra g de la citada Ley.

https://www.aepd.es/es/documento/ps-00295-2019.pdf

8º) Acceso al historial clínico sin consentimiento del paciente. Multa: 40.000 €

El Hospital POVISA de Vigo presta servicios a pacientes del Servicio Galego de Saúde (SERGAS), de diferentes mutuas y aseguradoras privadas y a pacientes sin seguro.

Partimos de la base de que los profesionales sanitarios no pueden acceder a cualquier historial clínico, por su simple condición de trabajadores del centro sanitario, sino que es preciso que tengan relación asistencial con el paciente titular de la historia. 

En este caso, el personal del SERGAS accedió libremente a los datos del paciente custodiados por POVISA cuando la asistencia sanitaria había sido realizada con cargo a un seguro privado (CASER).

El Hospital POVISA fue sancionado por una infracción grave con multa de 40.000 € por no haber incorporado las medidas de seguridad adecuadas para impedir que desde el SERGAS se accediese a toda la información generada por el personal sanitario que presta servicios en el mencionado centro hospitalario con cargo a un seguro privado.

https://www.aepd.es/es/documento/ps-00287-2018.pdf

9º) Publicación en el tablón de anuncios de una Comunidad de Propietarios de los datos de un propietario en situación de morosidad. Multa: 10.000 €.

https://www.aepd.es/es/documento/ps-00248-2019.pdf

Los datos del reclamante figuran expuestos en una nota situada en el interior de un tablón de anuncios acristalado de la Comunidad. El tablón se sitúa en el interior del portal, en una zona común cercana al portal, por tanto, accesible a cualquiera. Los datos publicados aluden a la condición de deudor del reclamante con nombre y apellidos, piso y puerta y la cantidad adeudada.

10ª) Tratamiento de datos personales tras darse de baja en el servicio. Sanción: 60.000 €

La reclamante contrató, con la compañía MAXMÓVIL, unos servicios de telefonía que, al final, no le fueron dados de alta. Ante esto, la reclamante presentó reclamación ante la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, siendo su resolución estimatoria, declarando en la misma su derecho a dar de baja los servicios, el reembolso del dinero pagado en las facturas y el derecho a una indemnización por los perjuicios causados. Esta resolución fue atendida por la entidad, pero unos meses después, la reclamante recibió una carta de requerimiento previo de pago por importe de 197,01 € por unos servicios que debían de estar dados de baja a petición de la reclamante. Se considera que el tratamiento fue ilegítimo y sancionable.

https://www.aepd.es/es/documento/reposicion-ps-00024-2020.pdf

Para terminar, un caso mediático, que estoy seguro que les sonará: las imágenes de Cristina Cifuentes (expresidenta de la comunidad de Madrid) sustrayendo unas cremas en un supermercado Eroski.

Como consecuencia de aquella filtración se sancionó a Cecosa Hipermercados, S.L., perteneciente al grupo Eroski, con dos multas, una de 100.000 € por haber custodiado indebidamente las imágenes y otra de 50.000 € por la recopilación y el almacenamiento de imágenes previas de autores de hurtos obtenidas en supermercados del grupo para impedirles el acceso a sus establecimientos (pueden consultar la resolución de la AEPD haciendo clic aquí).

Tiempo después, la Audiencia Nacional anuló ambas sanciones, al entender que no se habían seguido las normas establecidas para el procedimiento sancionador, cuyos principios y garantías esenciales «han sido vulneradas, lo que determina la nulidad de la resolución», en concreto, se entienden infringidos los derechos de defensa, a ser informado y a utilizar los medios de prueba adecuados para la defensa del acusado (pueden consultar la sentencia aquí).

Recientemente, el Juzgado de 1ª Instancia nº 82 de Madrid desestimó la demanda de la expresidenta de la comunidad de Madrid contra Cecosa Hipermercados por la difusión del video en el que se ve a Cifuentes, junto a un vigilante de seguridad, tras sustraer las cremas. La sentencia no considera que haya existido una intromisión ilegítima en el derecho al honor de Cifuentes, ya que se trata de una «grabación lícita tomada en un establecimiento público» y no hay «prueba alguna» de la participación de Cecosa Hipermercados en la divulgación de las imágenes.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).