Vamos a seguir con más ejemplos reales de expedientes sancionadores.
1º) Conservación de los datos personales de un antiguo cliente por más tiempo del estrictamente necesario. Multa: 50.000 €
El reclamante denuncia que sus datos personales han sido conservados por la entidad financiera pese a haber dejado de ser cliente hacia 16 años. Además, los datos no permanecían bloqueados, pues los empleados de la entidad podían acceder a ellos.
https://www.aepd.es/es/documento/ps-00076-2020.pdf
2º) Publicar la imagen de una persona en redes sociales sin consentimiento del afectado. Multa: 12.000 €
La empresa denunciada publicó en su página de Facebook que un indigente les había robado todo el dinero que tenían en la caja registradora, ilustrando la publicación con una imagen de la persona acusada tomada desde su cámara de videovigilancia.
Asimismo, hicieron circular por grupos de WhatsApp otra fotografía de esta persona tomada de frente, con la cara perfectamente reconocible.
Se impone una multa de 10.000 € por carecer de base legal suficiente para el procesamiento de datos y una multa de 2.000 € por no tener el preceptivo cartel de aviso de videovigilancia.
https://www.aepd.es/es/documento/ps-00227-2020.pdf
3º) Empresa de mensajería entrega un pedido a un vecino sin contar con su consentimiento previo del interesado. Multa: 70.000 €
El reclamante expone que su pedido fue entregado por UPS a una de las vecinas de la comunidad en la que reside, sin previo aviso y por tanto, sin contar con su consentimiento previo y expreso. Asimismo, aduce que ejercitó el derecho de oposición, sin obtener respuesta alguna.
https://www.aepd.es/es/documento/ps-00280-2022.pdf
4º) Desvelar datos de terceros a través del correo electrónico por no emplear copia oculta. Multa: 10.000 €
La reclamación se basa en la recepción por parte del reclamante de un correo electrónico sin copia oculta enviado por un despacho de abogados a decenas de destinatarios, incluido el reclamante, con datos identificativos (nombres y apellidos y domicilios).
https://www.aepd.es/es/documento/ps-00322-2020.pdf
5º) Remisión de datos personales contenidos en factura a terceros. Multa: 40.000 €
La reclamante manifiesta que un tercero, que nada tiene que ver con ella, recibió en su dirección de correo electrónico su factura de electricidad correspondiente al mes de septiembre del año 2019 con datos personales suyos (nombre, NIF y domicilio) y parte de la numeración de su cuenta bancaria.
https://www.aepd.es/es/documento/ps-00102-2020.pdf
6º) Tratamiento de datos personales tras darse de baja en el servicio. Multa: 60.000 €
La reclamante contrató, con la compañía MaxMóvil, unos servicios de telefonía que, al final, no le fueron dados de alta. Ante esto, la reclamante presentó reclamación ante la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, siendo su resolución estimatoria, declarando en la misma su derecho a dar de baja los servicios, el reembolso del dinero pagado en las facturas y el derecho a una indemnización por los perjuicios causados. Esta resolución fue atendida por la entidad, pero unos meses después, la reclamante recibió una carta de requerimiento previo de pago por importe de 197,01 € por unos servicios que debían de estar dados de baja a petición de la reclamante. Se considera que el tratamiento fue ilegítimo y sancionable.
https://www.aepd.es/es/documento/reposicion-ps-00024-2020.pdf
7º) No responder a la solicitud de supresión de datos personales. Multa: 2.000 €
El reclamante ejercitó el derecho de supresión ante la reclamada, sin que su solicitud haya recibido la contestación legalmente establecida.
https://www.aepd.es/es/documento/ps-00189-2020.pdf
8º) Empleo de datos personales para publicitar productos sin consentimiento del afectado. Multa: 3.000 €
La reclamante contrató los servicios de una empresa para descargarse menús semanales. Días después descubre que dicha empresa había utilizado sus datos personales (nombre y apellidos, foto de perfil e información sobre sus analíticas de colesterol y su enfermedad de hipotiroidismo) para publicitar sus productos, sin consentimiento previo.
https://www.aepd.es/es/documento/ps-00249-2020.pdf
9º) Acceso ilegítimo por una Notaría a la base de datos nacional de Catastro. Multa: 8.000 €
El personal de la Notaria accede a la base de datos nacional de Catastro para consultar los bienes de los que son titulares los reclamantes, sin que estos hayan efectuado encargo profesional alguno que requiera la consulta de tales datos.
https://www.aepd.es/es/documento/ps-00459-2022.pdf
10º) Acceso al historial clínico sin consentimiento del paciente. Multa: 40.000 €
El Hospital POVISA de Vigo presta sus servicios a pacientes del Servicio Galego de Saúde (SERGAS), de diferentes mutuas y aseguradoras privadas y a pacientes sin seguro.
Partimos de la base de que los profesionales sanitarios no pueden acceder a cualquier historial clínico, por su simple condición de trabajadores del centro sanitario, sino que es preciso que tengan relación asistencial con el paciente titular de la historia.
En este caso, el personal del SERGAS accedió libremente a los datos del reclamante custodiados por POVISA cuando la asistencia sanitaria había sido realizada con cargo a un seguro médico privado (CASER).
El Hospital fue sancionado por una infracción grave con multa de 40.000 € por no haber incorporado las medidas de seguridad adecuadas para impedir que desde el SERGAS se accediese a la información generada por el personal sanitario que presta servicios en el mencionado centro hospitalario con cargo a un seguro privado.
https://www.aepd.es/es/documento/ps-00287-2018.pdf
Sobre el intercambio de información de la historia clínica de los trabajadores entre los médicos del servicio público de salud y los médicos de las Mutuas, la AEPD dictó una resolución que nos lo aclara. La dejo enlazada aquí,
