Hoy traemos a colación dos recientes resoluciones de la Agencia Española de Protección de Datos (AEPD), que nos resultan curiosas no por los hechos infractores en sí, que suele ser muy común, sino por la cuestión de que en el año 2020 se sigan produciendo estas situaciones, que derivan en sanciones.

 

Primera resolución, 1.500€ de multa

La primera de ella es la imposición de una multa de 1.500 euros a una empresa de que, teniendo una página web (cosa común hoy día), en la que a través de un formulario de contacto, recogían datos, y daban la posibilidad de suscribirse a la newsletter. Pues bien, carecía de una política de privacidad, infringiendo con ello el deber de información que establece el artículo 13 del Reglamento General de Protección de Datos (RGPD).

Pero no sólo eso, encima la web carecía de aviso legal, por lo que el responsable de la misma no se identificaba ante los usuarios.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, indica de forma muy clara y sencilla lo que debe contener la información básica para dar cumplimiento al deber de información antes indicado.

Así, en su artículo 11 establece que:

“2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:

a) La identidad del responsable del tratamiento y de su representante, en su caso.

b) La finalidad del tratamiento.

c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.”

Con esto y un bizcocho, bien hubieran evitado la sanción. Y en caso de duda o de falta de tiempo, para eso estamos los profesionales de la protección de datos, que a buen seguro hubiera salido más económico.

Y no fue más grande la debacle, porque la sancionada no era reincidente, no había obtenido beneficios directos, y no tenía la consideración de gran empresa.

 

Segunda sanción, 5.000 € de multa

La segunda sanción es algo mayor, 5.000 euros, y resulta llamativa por la cuestión que dio pie a la denuncia. El caso es el siguiente: una empresa (constituida formalmente como SL) había montado un puesto ambulante. La policía local les solicita la documentación y, ¡ale hop! No tenían licencia.

El encargado de la empresa no se le ocurre otra cosa que decir que no estaban haciendo venta ambulante, sino que trabajaba bajo pedido, enseñándole a la policía un listado con el nombre de supuestos clientes. La policía llama a algunos de ellos, y resultaban que tampoco eran clientes.

Pues bien, aparte del supuesto delito de falsedad documental (del que no sabemos cómo ha quedado la cosa), la policía puso los hechos en conocimiento de la AEPD, quien le imputó la comisión de una infracción por vulneración del artículo 6.1 del RGPD, sobre la licitud del tratamiento.

Artículo 6.1 del RGPD

“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;”

Con la actual normativa, lo fundamental es la información más que el consentimiento, pero como bien indica la Sala de lo Contencioso Administrativo de la Audiencia Nacional, cuando el titular de los datos niega la contratación corresponde la carga de la prueba a quien afirma su existencia debiendo el responsable del tratamiento de datos de terceros recabar y conservar la documentación necesaria para acreditar el consentimiento del titular. Este consejo vale mucho, que cada uno saque sus conclusiones.

 

Para terminar, recordar que la normativa de protección de datos se aplica a personas físicas o jurídicas, autoridades públicas, servicios u otros organismos que, solo o junto con otros, determine los fines y medios del tratamiento. Y por tratamiento de datos entendemos cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Por tanto, que cada uno, persona jurídica o profesional, se analice y mida las consecuencias que tiene incumplir la normativa. Y estas quedaron en poco.

 

Artículos que te pueden interesar: