Listado de la etiqueta: Sanción

25.000 euros de multa por no contar con un DPD

La Audiencia Nacional ha confirmado la multa impuesta a la empresa de servicios de mensajería Glovo por la Agencia Española de Protección de Datos (AEPD) por no contar con un delegado de protección de datos (DPD). La sanción, de 25.000 euros, fue impuesta por la AEPD en agosto de 2020 por no disponer de una figura física o jurídica a la que dirigir las reclamaciones relacionadas con la protección de datos personales de los usuarios de la plataforma.

Glovo interpuso un recurso contencioso-administrativo ante la Audiencia Nacional en contra de esta resolución, alegando que contaban con un comité de protección de datos que realizaba todas las gestiones encargadas al delegado, pero la AEPD observó que no tenía a nadie nombrado en ese puesto. La empresa manifestó que de 2014 a 2018 la función de protección de datos la realizaba el servicio jurídico de la compañía y en 2018 y 2019 se llevaba a cabo a través del comité y un subcomité.

La Audiencia Nacional ha considerado que la actividad que realiza la empresa exige, necesariamente, que el usuario aporte su información personal y que los datos «son seguidos de manera habitual y sistemática por Glovo al estar ante una aplicación popularísima cuyas técnicas para obtener datos se emplean en actividades de mercadotecnia». Por tanto, se exige que la empresa efectúe un tratamiento de datos personales debiendo el encargado del tratamiento cumplir con absoluta plenitud las disposiciones del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) en el ejercicio de su actividad.

Además, los magistrados han señalado que una vez que el usuario introduce sus datos en la aplicación, recibe información de ofertas, oportunidades y descuentos, y que cualquier cantidad relevante puede poner en riesgo los datos de los usuarios que emplean la aplicación. Por tanto, la falta de un delegado de protección de datos supone una infracción del RGPD y LOPDGDD.

Es importante recordar que la figura del DPD, que puede ser una persona física o jurídica, está establecida en el artículo 37 del RGPD y es una figura clave en la protección de datos personales, ya que es la encargada de garantizar que el tratamiento de los datos personales se realiza de forma adecuada y de recibir y atender las reclamaciones de los usuarios en relación con la protección de sus datos personales.

¿Es el correo “dpd” un dato personal?

Muchas personas se cuestionan si la dirección de correo electrónico de un delegado de protección de datos, que normalmente empiezan por “dpd” o “dpo”, es por sí sola un dato de carácter personal.

Aunque pueda pensarse que esta cuestión es irrelevante, en algunas ocasiones puede tener una gran importancia, ya que de la respuesta a esta cuestión dependerá si se aplica o no la normativa de protección de datos y su régimen sancionador.

Por ejemplo, si alguien se dedicara a recopilar direcciones de correo “dpd” para enviarles publicidad online, además de estar infringiendo el artículo 21 de la LSSI podría estar infringiendo el RGPD y la LOPDGDD, siempre que esta dirección sea considerada un dato personal.

Volviendo a la cuestión planteada; partiendo del criterio imperante de que una dirección de correo electrónico perteneciente a una persona física será un dato personal y una dirección de correo institucional, como las que comienzan por “info”, no será un dato personal, podría pensarse que la dirección “dpd” pertenece a un órgano de la entidad y que por tanto no es un dato personal.

Sin embargo, la respuesta correcta sería la contraria: una dirección de correo “dpd” sí es un dato de carácter personal. Con buen criterio, así lo ha declarado la AEPD en un procedimiento sancionador a Vodafone España, en la que se le ha impuesto una multa de 50.000 euros por la infracción del artículo de artículo 21 del RGPD, al no gestionar correctamente del derecho de oposición ejercido por el reclamante; y otra multa de 20.000 euros por la infracción del artículo de artículo 21 del LSSI, por su responsabilidad en el envío de correos electrónicos publicitarios sin el consentimiento preceptivo del destinatario, aunque lo hiciera a través de una empresa interpuesta.

Vodafone España alegó en este procedimiento que la dirección de correo electrónico “dpd” no podía ser considerada como dato personal, no aplicando por lo tanto el RGPD. En este sentido, indicó que la Comisión Europea, en su página web oficial informa de que una dirección de correo electrónico que cumpla el formato “info@empresa.com”, no debe de considerarse como dato personal. Además, señaló que este formato de dirección de correo electrónico que no es considerado como dato personal por parte de la Comisión Europea tiene una estructura idéntica a la del correo “dpd”.

Sin embargo, la AEPD ha aclarado que el formato “info” no identifica a ninguna persona o cargo de la empresa en particular, sino que hace referencia a una dirección de correo electrónico genérica donde, en principio, cualquier usuario o empleado de esta tiene acceso, como podría ser también formatos como “RRH”, “Contabilidad, o “repuestos”, pero cuando la dirección de correo electrónico de una entidad es utilizada por un solo empleado, pudiéndose identificar directa o indirectamente con el nombre, con determinados dígitos o con el cargo que ocupa, como en este caso que indica que pertenece al delegado de protección de datos, se considera dato personal a todos los efectos.

En definitiva, una dirección de correo electrónico del tipo “dpd” sí es un dato personal por sí misma, es decir, sin necesidad de tratar otros datos de ese delegado de protección de datos.

Fuente original: https://lopezdelemus.com/es-el-correo-dpd-un-dato-personal

Protección de datos: Vodafone y su enésima sanción por infringir el RGPD

Con fecha 16 de junio de 2020, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador (PS/00139/2020) a VODAFONE ESPAÑA, S.A.U. a razón de los siguientes hechos:

La usuaria (o reclamante) manifiesta que fue titular de un contrato de telefonía fija + fibra línea móvil con Movistar, realizando la portabilidad con Vodafone (o reclamado) en diversas fechas. Posteriormente, en febrero del año 2018 se trasladó de domicilio, y al efectuar una consulta, le manifiestan que en sus sistemas los servicios dados de alta figura como titular su excónyuge. De igual modo, añade la usuaria que en las facturas emitidas por Vodafone aparecen sus datos, pero dirigidas a nombre de su excónyuge.

Ver noticia completa en fuente original: https://www.economistjurist.es/noticias-juridicas/proteccion-de-datos-vodafone-y-su-enesima-sancion-por-infringir-el-rgpd/

Vodafone multada con más de 12 millones de euros por telemarketing ilegal

Según publica la asociación contra el SPAM, la operadora de telecomunicaciones VODAFONE ha sido sancionada con 12 millones de euros por prácticas agresivas de telemarketing en llamadas telefónicas no solicitadas (SPAM telefónico) por la autoridad de control en materia de protección de datos de Italia.

Más información en su fuente original: https://asociacioncontraelspam.com/vodafone-multada-con-mas-de-12-millones-de-euros-por-telemarketing-ilegal

Organizaciones sin delegado de protección de datos, en el punto de mira de la AEPD

Se acabaron las excusas. La Agencia Española de Protección de Datos (AEPD) ha empezado actuar de manera decidida contra las organizaciones que siguen sin contar con un delegado de protección de datos (DPD), a pesar de estar obligadas por ley desde hace más de dos años. La primera empresa en ser sancionada por este motivo ha sido la plataforma de envíos a domicilio Glovo, que tendrá que pagar una multa de 25.000 euros…

Ver noticia completa en fuente original: https://cincodias.elpais.com/cincodias/2020/06/16/legal/1592323390_930660.html

Sancionado un ayuntamiento por no nombrar DPD

El Ayuntamiento de Huercal estaba obligado a nombrar un DPD ya que es una autoridad u organismo público. Indica la AEPD en su Resolución del Procedimiento Sancionador que la modalidad de contratación, nombramiento y relación laboral es muy amplia, y que puede elegirse lo más adecuado para su concreta situación.

Además, recuerda que el RGPD entró en vigor el día 25 de mayo de 2016, si bien no fue aplicable hasta dos años después, y que en ese periodo de tiempo debería de haber adecuado sus tratamientos a la nueva normativa, pero este Ayuntamiento, un año y medio después de ese periodo de adaptación, aun no había nombrado un DPD.

Por todo ello, dado que el Ayuntamiento de Huercal ha incumplido la obligación establecida en el artículo 37 del RGPD y sancionada en el artículo 83.4.a) del mismo, la AEPD le impone la sanción de apercibimiento, ya que se trata de una administración pública, y se le requiere para que nombre un DPD en el plazo de un mes.

La AEPD multa a una abogada por reutilizar documentos con datos de clientes en el reverso

Reutilizar material para ahorrar costes puede acabar saliendo muy caro. Ejemplo de ello es una reciente resolución de la Agencia Española de Protección de Datos (AEPD) en la que multa a una abogada por aprovechar documentos usados que contenían datos personales de antiguos clientes en el reverso.

El organismo considera que la actuación de la letrada supone una vulneración el artículo 32 del Reglamento General de Protección de Datos (RGPD), que obliga a los responsables del tratamiento de datos a «aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado”. Por ello, fija una sanción de 2.000 euros…

Ver noticia completa en fuente original: https://cincodias.elpais.com/cincodias/2020/06/19/legal/1592523855_570642.html

Sancionado un ayuntamiento por no nombrar DPD

El Ayuntamiento de Huercal estaba obligado a nombrar un DPD ya que es una autoridad u organismo público. Indica la AEPD en su Resolución del Procedimiento Sancionador que la modalidad de contratación, nombramiento y relación laboral es muy amplia, y que puede elegirse lo más adecuado para su concreta situación.

Además, recuerda que el RGPD entró en vigor el día 25 de mayo de 2016, si bien no fue aplicable hasta dos años después, y que en ese periodo de tiempo debería de haber adecuado sus tratamientos a la nueva normativa, pero este Ayuntamiento, un año y medio después de ese periodo de adaptación, aun no había nombrado un DPD.

Por todo ello, dado que el Ayuntamiento de Huercal ha incumplido la obligación establecida en el artículo 37 del RGPD y sancionada en el artículo 83.4.a) del mismo, la AEPD le impone la sanción de apercibimiento, ya que se trata de una administración pública, y se le requiere para que nombre un DPD en el plazo de un mes.

La Audiencia Nacional confirma la sanción de 200.000 euros a Òmnium por tratar datos ideológicos para la encuesta del 9-N

La Sala de lo Contencioso-administrativo de la Audiencia Nacional ha confirmado la multa de 200.000 euros que impuso la Agencia de Protección de Datos a la entidad Òmnium Cultural por vulnerar la Ley de Protección de Datos, al tratar datos ideológicos de los ciudadanos catalanes en una gran encuesta realizada los meses previos a la consulta del 9 de noviembre de 2014. El Tribunal rechaza el recurso presentado por Òmnium contra la sanción porque considera probado que trataron datos personales de ideología y que eran unos datos sensibles o especialmente cualificados que requieren un reforzamiento de la prestación del consentimiento de su titular para ser objeto de tratamiento.

Los hechos ahora analizados se remontan a los meses de octubre y noviembre de 2014, cuando las entidades ANC y Òmnium promovieron la campaña “Ara és l’ Hora” para realizar una encuesta que denominaron ‘gigaencuesta’ en todo el ámbito de Cataluña y que afectaba a 3 millones de domicilios.

Para realizar la encuesta se habilitó un formulario de 6 preguntas que comenzaba con “Si Cataluña fuera un estado tendría entre 8.000 y 16 .000 millones de euros más, ¿Cómo piensa que se debería gastar?”, la segunda pregunta empezaba declarando que “si construimos un país nuevo estará en nuestras manos decidir cómo deben ser los servicios públicos”; en la tercera, con carácter previo: “construir un nuevo país nos permitiría partir de cero y renovar la democracia”. Y la última pregunta, “¿Irá a votar el día 9 de noviembre?” con tres posibles respuestas: “A) iré a votar y ya tengo decidido mi voto; b) Iré a votar y ya decidiré mi voto y C) no iré a votar”.

30.000 voluntarios realizaron las encuestas “puerta a puerta”

La sentencia de la Sección Primera de la Sala de lo Contencioso recoge como la gigaencuesta se desarrolló por dos vías: por correo postal y a través de 30000 voluntarios que se dividieron por áreas geográficas, con visitas “casa a casa” organizadas por municipios, distritos y zonas. Los encuestadores, explican los jueces, “cumplimentaban los formularios de aquellos ciudadanos que así lo deseaban. Si los encuestados no abrían la puerta o no querían o no podían responder pero se apreciaba “receptividad”, se preveía la posibilidad de entregar el folleto o depositarlo en el marco de la puerta para que dichos encuestados lo remitieran por correo”.

Para efectuar el registro de los datos, Òmnium creó un fichero y era el destinatario de las respuestas recibidas tanto por correo como por los voluntarios, que se entregaban en los 20 locales que tenía la entidad repartida por toda Cataluña. Finalizada la encuesta en cada ámbito geográfico, la documentación se procedía a su mecanización a través de una aplicación facilitada por ANC.

La Agencia de Protección de Datos abrió una inspección y accedió a la aplicación informática desarrollada donde figuraban un total de 82.814 encuestas, que incluían tanto respuestas como datos personales de los encuestados. Las encuestas en papel almacenadas incluían un resumen, cumplimentado a mano, donde figuraba “el número de puertas que no abren, o que no quieren hacer la encuesta, además de la lista de edificios a visitar (calle, número y total de puertas). Figuran además una serie de anotaciones manuscritas referentes a cada una de las viviendas visitadas con indicaciones concretas (no irá a votar, no es legal, no interesa, no quiere atender, no abren, dejar a la encuesta, no quieren hacerla…)”.

La AEPD concluyó que se había producido una vulneración del artículo 7.2 de la LOPD, tipificada como muy grave en el artículo 44.4b) de la citada Ley.

Se trataron datos personales de ideología, con posibilidad de identificar a los encuestados

En línea con la Agencia de Protección de Datos y después de analizar la normativa nacional y europea el tribunal concluye que Òmnium sí hizo un tratamiento de datos de los encuestados que permitía asociar los datos a un domicilio concreto, “por lo que se puede llevar a cabo la identificación sin grandes esfuerzos y no es posible apreciar la disociación en los términos previstos”. Frente al argumento de los recurrentes de que no se realizó fichero alguno, el tribunal considera que sí se realizaron criterios de archivo que posibilitaban la localización de los datos personales, “información que además fue obtenida con la finalidad de ser conservada para permitir su utilización posterior, según se expone en el propio formulario/ encuesta”.

Òmnium en su recurso también planteaba la ausencia de datos de ideología. Un argumento que tampoco comparte LA Sala, al considerar acreditado que para rellenar el cuestionario había que partir previamente y aceptar implícitamente “el posicionamiento ideológico que deriva de tal formulario, que no es otro que el favorable a la independencia de Cataluña respecto del Estado español”
La encuesta, según la Sala, se inclina claramente a favor de una concreta posición ideológica, “cuál es la independencia de Cataluña, con la necesariamente ha de estarse conforme pues en otro caso no es posible contestar la misma, o al menos en su integridad”.

Por todo ello, el tribunal concluye que sí se podía conocer si el encuestado apoyaba o no el proceso independentista y por tanto, se ha realizado un tratamiento de datos personales de ideología por parte de Òmnium que por ser especialmente sensibles, la ley requiere un reforzamiento a la hora de prestar el consentimiento del titular para ser objeto de tratamiento.

La sanción correspondiente por infracción muy grave se encontraría comprendida entre los 300.001 euros y los 600.000 euros. La Sala considera proporcionada la cifra de 200.000 fijada por la Agencia de Protección de Datos que tuvo en cuenta que cuando Òmnium y ANC fueron requeridos para que dejaran de utilizar ilícitamente los datos recabados las dos entidades eliminaron la información y, además, tras el requerimiento de la Agencia, separaron en las encuestas la parte relativa a las respuestas y la referida a los datos personales del encuestado y su consentimiento.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: PODER JUDICIAL

Un centro comercial condenado por grabar a peatones de forma ilegal

Nuevo revés judicial para El Corte Inglés. La Audiencia Nacional le ha condenado por séptima vez a pagar una multa por grabar de forma ilegal a los peatones que circulaban junto a uno de sus centros comerciales. En un dictamen del pasado 29 de junio, los jueces de la Sección Primera de la Sala de lo Contencioso-Administrativo confirman la sanción de 40.001 euros impuesta por la Agencia Española de Protección de Datos (AEPD) y vuelven a rechazar los argumentos de la compañía, que alegaba motivos de seguridad. Con esta nueva resolución, la empresa suma ya más de 340.000 euros en sanciones por estos motivos.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: EL PAIS.COM