Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Expedientes sancionadores. Casos reales (Parte I)

El mal cumplidor siempre tiene interés por conocer las sanciones, si bien lo más fácil es cumplir y evitar preocupaciones.

Hoy les comentaré varios casos reales de expedientes sancionadores:

1º) Inclusión del denunciante en un fichero de morosos desconociendo que actuaba como avalista en una operación de microcrédito. Multa: 100.000 €.

El origen de los hechos es que una tercera persona, desconocida para el denunciante, le ha presentado, de forma fraudulenta, como avalista en una operación de microcrédito. Al no devolver el prestatario el microcrédito, la entidad prestamista, incluyó los datos personales del denunciante en dos ficheros de morosos (Asnef y Badexcug) por una deuda de 568 €. Como el prestatario puso una dirección falsa del denunciante en el contrato de microcrédito, este no recibió ninguna comunicación de su inclusión en dichos ficheros, teniendo conocimiento de los hechos porque su banco le niega un préstamo hipotecario.

https://www.aepd.es/es/documento/ps-00615-2016.pdf

2º) Inclusión del denunciante en un fichero de morosos siendo la deuda inexistente. Multa: 80.000 €.

TELEFÓNICA MÓVILES ESPAÑA, S.A.U. incluyó los datos personales del denunciante en el fichero ASNEF por una deuda inexistente, pues había sido anulada por un laudo arbitral.

https://www.aepd.es/es/documento/ps-00091-2018.pdf

3º) Tratamiento de datos personales para alta en un contrato de suministros sin conocimiento de su titular. Multa: 100.000 €

VODAFONE ONO trató sin consentimiento los datos personales de la denunciante (nombre y apellidos, DNI, domicilio y dirección de correo electrónico) que utilizó para contratar a su nombre el alta de una línea, habida cuenta que el consentimiento para dicha contratación no fue otorgado por ella, sino por una tercera persona, significándose que la entidad conocía dicha irregularidad en el momento de efectuarse la contratación.

https://www.aepd.es/es/documento/ps-00482-2017.pdf

4º) Publicidad comercial habiéndose obtenido los datos personales del censo electoral. Multa: 100.000 €

SISTEMAS MÉDICOS PROFESIONALES, S.L. realiza una campaña publicitaria por correo postal. La dirección para los correspondientes envíos se obtuvo del padrón municipal o censo electoral.

Ante la ausencia de consentimiento de los destinatarios de la campaña publicitaria para el tratamiento de sus datos personales, al no considerarse el padrón municipal como fuente accesible al público, se sanciona a la empresa responsable con 100.000 €.

https://www.aepd.es/es/documento/ps-00052-2012.pdf

5º) Envió de mensajes publicitarios sin solicitud previa ni relación comercial. Multa: 26.000 €.

Denuncia contra CAIXABANK CONSUMER FINANCE, S.A. por el envío de cuatro mensajes de texto (SMS), no consentidos ni autorizados, de contenido comercial a la línea de telefonía móvil del denunciante, tres correos electrónicos y dos comunicaciones de publicidad postal a su domicilio, también no consentidas.

Decir que en el contrato de crédito firmado entre denunciante y denunciada en mayo de 2017 el denunciante había marcado expresamente las casillas en las que no autorizaba el tratamiento de sus datos personales a efectos comerciales y para la oferta de productos, autorizando el tratamiento de sus datos personales única y exclusivamente a los efectos imprescindibles para el perfeccionamiento del contrato de crédito.

https://www.aepd.es/es/documento/ps-00240-2018.pdf

Como anécdota les cuento que en Italia la autoridad de control (“Garante per la protezione dei dati personali”) impuso a una compañía de telefonía móvil por una campaña de llamadas publicitarias sin el consentimiento de los destinatarios, incluso a personas que estaban inscritos en la lista Robinson, o que habían ejercido su derecho de oposición, una multa de 27.802.946 €. Ahí es nada.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9256486

6º) Captación de imágenes de la vía pública a través de las cámaras de videovigilancia. Multa: 40.001 €

Las cámaras de la entidad denunciada captan imágenes de espacios públicos de las personas que circulan por la vía pública permitiendo su identificación.

Recordar que las videocámaras deberán orientarse de modo tal que su objeto de vigilancia principal sea el entorno privado y la captación de imágenes de la vía pública sea la mínima imprescindible.

https://www.aepd.es/es/documento/ps-00630-2012.pdf

7º) Establecer una política de cookies inadecuada. Multa: 30.000 €

La web denunciada no facilita un panel de configuración de cookies que permita al usuario eliminarlas de forma selectiva o granular. Para facilitar esta selección, la página tendría que habilitar un mecanismo o botón que permitiera rechazar todas las cookies, otro que permitiera habilitar todas las cookies o hacerlo de forma selectiva según las preferencias del usuario. La información ofrecida sobre las herramientas proporcionadas por los diferentes navegadores para configurar las cookies es complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva.

Utilizar dispositivos de almacenamiento y recuperación de datos (cookies) sin facilitar la debida información al destinatario, o sin obtener su consentimiento, en los términos exigidos por el artículo 22.2 LSSICE está tipificado como infracción leve en el artículo 38.4 g) de la citada Ley.

La AEPD sancionó el hecho con multa de 30.000 €.

https://www.aepd.es/es/documento/ps-00295-2019.pdf

8º) Acceso al historial clínico sin consentimiento del paciente. Multa: 40.000 €

El Hospital POVISA de Vigo presta servicios a pacientes del Servicio Galego de Saúde (SERGAS), a pacientes de diferentes mutuas y aseguradoras privadas y a pacientes sin seguro.

Partimos de la base de que los profesionales sanitarios no pueden acceder a cualquier historial clínico, por su simple condición de trabajadores del centro sanitario, sino que es preciso que tengan relación asistencial con el paciente titular de la historia. En este caso, el personal del SERGAS accedió libremente a los datos del paciente custodiados por POVISA cuando la asistencia sanitaria había sido realizada con cargo a un seguro privado (CASER).

El Hospital POVISA es sancionado por una infracción grave con multa de 40.000 € por no haber incorporado las medidas de seguridad adecuadas para impedir que desde el SERGAS se accediese a toda la información generada por el personal sanitario que presta servicios en el mencionado centro hospitalario con cargo a un aseguramiento privado.

https://www.aepd.es/es/documento/ps-00287-2018.pdf

9º) Publicación en el tablón de anuncios de una Comunidad de Propietarios de los datos de un propietario en situación de morosidad. Multa: 10.000 €.

https://www.aepd.es/es/documento/ps-00248-2019.pdf

Los datos del reclamante figuran expuestos en una nota situada en el interior de un tablón de anuncios acristalado de la Comunidad. El tablón se sitúa en el interior del portal, en una zona común cercana al portal, por tanto, accesible a cualquiera. Los datos publicados aluden a la condición de deudor del reclamante con nombre y apellidos, piso y puerta y la cantidad adeudada.

10ª) Tratamiento de datos personales tras darse de baja en el servicio. Sanción: 60.000 €

La reclamante contrató, con la compañía MAXMÓVIL, unos servicios de telefonía que, al final, no le fueron dados de alta. Ante esto, la reclamante presentó denuncia ante Secretaria de Estado para la Sociedad de la Información y la Agenda Digital, siendo su resolución estimatoria, declarando en la misma su derecho a dar de baja los servicios, el reembolso del dinero pagado en las facturas y el derecho a una indemnización por los perjuicios causados. Esta resolución fue atendida por la entidad, pero unos meses después, la reclamante recibió una carta de requerimiento previo de pago por importe de 197,01 € por unos servicios que debían de estar dados de baja a petición de la reclamante. Se considera que el tratamiento fue ilegítimo y sancionable.

https://www.aepd.es/es/documento/reposicion-ps-00024-2020.pdf

Para terminar les comentaré un caso mediático que estoy seguro les suena a todos: las imágenes de Cristina Cifuente (expresidenta de la Comunidad de Madrid) hurtando unas cremas en el supermercado Eroski. Como consecuencia de aquella filtración se sancionó al supermercado Eroski con dos multas, una de 100.000 € por no haber custodiado debidamente las imágenes, hasta el punto de cederlas a una entidad privada, cuando es sabido que los datos de personas relacionadas con la investigación de delitos solo pueden ser tratados por las Fuerzas y Cuerpos de Seguridad del Estado, y otra de 50.000 € por la recopilación y el almacenamiento de imágenes previas de autores de hurto obtenidas en el mismo supermercado o procedente de otro para, por ejemplo, evitar que accedan al establecimiento.

https://www.aepd.es/es/documento/ps-00336-2018.pdf

Si quieren una conclusión les diré que sale más barato cumplir la normativa y ser responsables que pagar multas, y si quieren ampliar la información sobre el régimen sancionador previsto en la vigente normativa les dejo un enlace a un artículo anterior publicado en este blog: https://protecciondata.es/elementor-2948/

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual