- Envió de documentación de otro cliente
- Tirar documentación sensible a la basura
- Publicidad vía mail sin consentimiento previo
- Reutilización de papeles con datos personales
- Copia oculta de los mails de los destinatarios
- Reclamación por burofax, indicando datos personales de un tercero
- Ausencia de Delegado de Protección de Datos (DPD)
Envió de documentación de otro cliente
El reclamante solicitó documentación necesaria para unos trámites ante Hacienda a su asesoría y ésta, mediante correo electrónico le remitió un documento en el que aparecían datos personales de otro cliente. Aporta el email y un recibo de presentación de documentación ante Hacienda por parte de la Asesoría, con indicación de datos de otro cliente.
Entiende la AEPD que el reclamado vulneró el art. 5 del RGPD, principios relativos al tratamiento, en relación con el art. 5 de la LOPGDD, deber de confidencialidad, al ser remitido por e-mail documento conteniendo datos personales de un tercero. También considera que se ha infringido el art. 32.1 del RGPD, al producirse un incidente de seguridad en su sistema, permitiendo el acceso a datos personales de un tercero. Sanciona a esta asesoría con un total de 3.000 €.
Tirar documentación sensible a la basura
La Guardia Civil encontró al lado de los contenedores de basura dos bolsas de plástico repletas de documentación, en la que aparecían datos personales de distintos clientes del reclamado, abogado de profesión. Entre esta documentación se encontraban escrituras, poderes notariales, sentencias de órganos judiciales, fotocopias de DNIs de clientes, testamentos y otros documentos con datos personales.
Entiende la AEPD que el reclamado ha vulnerado el art. 32.1 del RGPD, al producirse una brecha de seguridad en sus sistemas, permitiendo el acceso a los documentos que habían sido depositados junto a contenedores de basura. Le sanciona con un apercibimiento y le requiere para que en el plazo de un mes acredite la adopción de la adopción de las medidas necesarias y pertinentes para corregir los tratamientos de datos personales que no se adecuan a la normativa en materia de protección de datos de carácter personal y evitar que vuelvan a producirse
Publicidad vía mail sin consentimiento previo
La asesoría reclamada remitió correos electrónicos ofreciendo servicios e intentado captar clientes, dirigidos a entidades de todo tipo en base a los datos obtenidos del Boletín Oficial de la Propiedad Industrial (BOPI). La entidad imputada no ha justificado que los correos remitidos se efectuaran mediando autorización expresa o solicitud previa del destinatario de los mismos, o que hubiesen mantenido una relación contractual previa.
La AEPD considera que estos hechos suponen la comisión, por parte del reclamado de una infracción del art. 21.1 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), e impone una sanción de 1.800 €.
Reutilización de papeles con datos personales
Se basa esta reclamación en que la abogada y también administradora de fincas, reclamada utilizó para convocar a los inquilinos de un inmueble, un folio en cuyo reverso aparecen datos de terceros referidos a procedimientos en los que la reclamada ha trabajado como abogada, de manera que el uso de dichos documentos al contener datos de terceros por su reverso, hace accesibles dichos datos a terceros, sin el consentimiento de los titulares de dichos datos personales.
La AEPD la sancionó con 2.000 € de multa por infracción del artículo 32 del RGPD, transcrito en el punto II que señala que “el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado”, conforme a lo dispuesto en el art. 83.4 del RGPD.
Copia oculta de los mails de los destinatarios
La entidad denunciada vulneró el derecho de protección de datos del reclamante al enviar un requerimiento de pago mediante un correo electrónico remitido a una lista de distribución sin ocultar las direcciones de correo de los destinatarios. La AEPD lo sanciona con 2.400 €, reduciendo la sanción al reconocer la empresa su responsabilidad.
Reclamación por burofax, indicando datos personales de un tercero
Una abogada de un despacho envió un burofax a una empresa dirigida el reclamante (en la parte superior se indicaban sus datos personales: nombre, apellidos y dirección postal) en nombre de su cliente, de la que fue socio en el pasado. El reclamante critica que se estén revelando sus datos personales a Ia mencionada compañía con la que no mantiene ningún tipo de relación (ni societaria, ni laboral ni accionarial).
Considera la AEPD que se ha incumplidor lo establecido en la normativa vigente e imponiendo a la entidad reclamada una sanción de 2.000 euros (dos mil euros) por la infracción del art. 6 del RGPD, que es reducida a 1.600 € por haberse producido el pago voluntario.
Ausencia de Delegado de Protección de Datos (DPD)
Los motivos en que basa la reclamación son que la reclamada, empresa de seguridad privada, tiene un sistema de CCTV, donde graba las imágenes de todas las personas que entran y trabajan en las instalaciones. Sin embargo, la parte reclamada no tiene nombrado un Delegado de Protección de Datos (en adelante DPD) y por lo tanto no se pueden ejercitar derechos.
La AEPD considera que el hecho denunciado de la falta de designación de DPD por una empresa de seguridad privada, al realizar la reclamada un tratamiento de datos personales a gran escala, y ser una empresa de seguridad privada nos encontramos ante la vulneración del art. 37.1 b) del RGPD en relación con el art. 34.1 ñ) de la LOPDGDD, que está tipificada en el art. 83.4 del RGPD, con una multa de 50.000€.
En otro caso, una empresa de reparto de comida es sancionada con 25.000 € por el mismo motivo, aunque alegaba que su actividad de tratamiento de datos personales se encontraba exenta de las obligaciones establecidas en los arts. 37 RGPD y 34 LOPGDD, y que, no obstante, contaba con un Comité de Protección de Datos, que llevaba a cabo las funciones propias de un Delegado de Protección de Datos descritas en el art. 39 del RGPD.
Si necesitas ayuda para implantar un sistema de Protección de Datos Personales en tu despacho o empresa puedes pedir más información sobre Centinela Protección de Datos, de Lefebvre, una guía eficaz que te ayudará en la planificación, implantación y mantenimiento del sistema de Protección de Datos que llegado el caso te permitirá atestiguar todo el trabajo realizado durante el proceso.