\ RSM20240418 - Resoluciones Relevantes
|
RESOLUCIONES RELEVANTES 09/03/2024 - 05/04/2024 |
|
Privacidad desde el diseño, Datos biométricos, Minimización, Legitimación, Confidencialidad, Política de privacidad y Cookies, Encargos de tratamiento, Limitación de la finalidad, Consentimiento, Derecho de acceso, Derecho de oposición, Brechas de seguridad... |
|
Ante el robo de un dispositivo de almacenamiento externo (USB) guardado dentro de una mochila, en una estantería de un despacho particular ubicado en unas oficinas a las que solo se puede entrar tras traspasar dos puertas generales en la entrada del edificio y una más de acceso a la oficina del Responsable de Tratamiento, la AEPD indica que la falta de medidas que impidan el acceso a la información supone una vulneración de la confidencialidad de los datos personales contenidos. |
|
- Privacidad desde el Diseño – Aplicaciones - |
|
Más de medio millón de € a GLOVOAPP23 por permitir el acceso indiscriminado de información de los riders |
|
La autoridad de protección de datos de Italia realizó una investigación a la empresa Foodinho SRL, en la que se descubrió que las actividades involucradas en la entrega de comida u otros ítems por los repartidores (“riders”) con la ayuda de una plataforma técnica específica (propiedad de GLOVOAPP23, S.L.) entrañaba el tratamiento de una amplia gama de datos personales: ubicación geográfica en tiempo real; monitorización de cada paso de la entrega a través de la app que se descargaba en el móvil del repartidor; conservación sistemática de los datos sobre las comunicaciones intercambiadas a través de correos electrónicos, chats y llamadas de teléfono; tiempo de entrega estimado y real; rutas seguidas; cumplimiento de las órdenes; valoraciones de los clientes o vendedores; puntuaciones de reputación. Por dichos motivos expuestos, se solicitaba a la AEPD realizar una investigación. De las actuaciones de investigación, la AEPD llegó a las siguientes conclusiones: - Infracción por no informar de la existencia de decisiones individuales automatizadas: En el presente caso, GLOVOAPP decidió “establecer la posibilidad de configurar un límite máximo de repartidores por franja horaria, límite que se basaba en estadísticas de pedidos y franjas horarias anteriores”. Para determinar qué repartidores podían acceder anticipadamente a seleccionar las franjas horarias dentro del límite máximo mencionado, GLOVO decidió que se utilizara el sistema Excellence Score como forma objetiva para dicho acceso anticipado, utilizando para ello diversos datos (nº de pedidos realizados, feedback de las tiendas y usuarios, histórico de pedidos, etc...), obteniendo una puntuación de forma automática, sin intervención humana. No obstante, dado que la empresa proporcionaba a los riders casi toda la información exigida por el RGPD, a excepción de lo que implicaba la utilización del “excellence score”, GLOVOAPP23 lo solventó a través vídeos de formación exigida para ser repartidor, junto con la información proporcionada a través de su blog, lo que motiva que ante dicha infracción la AEPD sancione con un apercibimiento. - Sobre la sanción por la infracción de los artículos 25.2 y 32 del RGPD, el sistema de permisos de acceso a los datos de los repartidores, instaurado por GLOVOAPP, no cumplía en un primer momento con los principios y obligaciones que establece el RGPD. Por parte de la AEPD se comprobó que todos los usuarios de la plataforma tecnológica de Glovo que tenían activado el permiso “EU User Access” podían acceder a los datos de todos los repartidores de países de la Unión Europea. No fue sino hasta el 18 de mayo de 2020, cuando GLOVOAPP dejó sin efecto el sistema “EU User Access”, implementando el sistema llamado “city group permissions”, que limitaba de forma estricta el acceso por país; permitiendo el acceso única y exclusivamente por país y por funciones, cuando dicho acceso se requería para la realización de tareas laborales específicas y dependiendo del puesto. En consecuencia, GLOVOAPP no adoptó una postura proactiva sino más bien una actitud reactiva, modificando la gestión de los permisos de acceso a los datos personales de los repartidores como si se tratara de “parches” informáticos, solucionando los problemas a medida que se los iban encontrando conforme cambiaba la estructura de la organización. El sistema de permisos de acceso a los datos de los repartidores no se configuró en los momentos iniciales teniendo en cuenta los posibles riesgos para los derechos y libertades de sus repartidores ni se configuró de modo que, por defecto, no resultaran accesibles los datos de los repartidores si no era necesario para la finalidad. GLOVOAPP debió asegurarse de que, por defecto, el acceso a los datos de los repartidores estuviera limitado al ámbito geográfico necesario; lo que implica que no tuviera establecido en sus sistemas un mecanismo que limitara el acceso de los usuarios a los datos que no resultaban necesarios para la realización de su trabajo. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 13 (Información al interesado); Art. 25 RGPD (Privacidad desde el diseño); Art. 32 RGPD (Medidas de seguridad) |
|
Resolución: |
|
550.000 € (Arts. 25 y 32 RGPD); Apercibimiento (Art. 13 RGPD) |
|
|
|
|
|
- Datos biométricos – Gimnasios - |
|
La implantación de sistemas biométricos para el acceso a un gimnasio acaba costándole 27.000 € |
|
La reclamante es socia del gimnasio METROPOLITAN CLUB, incorporándose en septiembre de 2020, y hasta el día 6/05/2021, se accedía mediante una pulsera y una tarjera identificativa en el ordenador de recepción. A partir de la citada fecha, se ha impuesto como requisito a los usuarios el acceso a sus instalaciones mediante huella dactilar. La reclamante se ha negado a ceder los datos de su huella, al entender que se trata de una petición excesiva de datos biométricos y le han comunicado que van a dar de baja como socia, sin más alternativa. METROPOLITAN, por su parte, manifestó que la empresa titular del gimnasio CLUB AQUA FLORANES es LLEFISA SL, y de las actuaciones de investigación de la AEPD se desprende la comisión de múltiples infracciones en materia de protección de datos: Información al interesado: examinado el contrato de usuario del gimnasio, se aprecian importantes carencias informativas en materia de protección de datos, por cuanto no figura base jurídica del tratamiento; no se informa sobre la finalidad del uso del sistema biométrico y en todo caso, no se hace en el momento en que se le tratan de recoger a la afectada (Lo firmado por la reclamada se ha de considerar sobre los datos que en ese momento facilita y entonces, todavía no se había instaurado la huella, y la finalidad recogida inicialmente para el uso de la huella, que era la protección de las personas y sus pertenencias, no coincide con la finalidad que figura en el RAT, que es limitar el acceso a las instalaciones a los abonados); ni se contempla las comunicaciones a terceros, plazos de conservación, la posibilidad de retirar el consentimiento... La información de la recogida de datos debe ajustarse a los que efectivamente se recogen, y efectivamente se van a tratar a continuación y ese es el motivo de que se le tenga que informar. No puede servir una información en diferido de unos datos que se recogerán o cuyo sistema está previsto instaurar en un futuro, a medio plazo, 6 meses, o a largo plazo por ejemplo un año, pues además de no ajustarse al principio de lealtad, ofrece inseguridad en el tratamiento, debiendo tenerse por no puesta dicha información al no ajustarse a los hechos Legitimación para el tratamiento de datos sensibles: No figura referencia alguna como base jurídica del tratamiento del registro biométrico para acceso al gimnasio de la reclamada referida al consentimiento en la información del tratamiento proporcionada a la reclamante. Es más, aunque existiera, como habría de prever la opción de no otorgarlo sin consecuencia alguna negativa, no se estima el mismo una base jurídica del tratamiento adecuada para el tratamiento de datos en esa modalidad con la prestación de este servicio, a menos que se diera una alternativa distinta real y efectiva al uso de la huella. En este caso, además, no queda acreditado que para la prestación del servicio fuera o sea necesario el uso de la huella dactilar (la reclamante estuvo sin usarla, acreditándose la innecesaridad). Tampoco resulta necesario para la ejecución del contrato el registro de las huellas para el acceso, cuando puede haber otros medios para acceder como se acredita con la reclamante que estuvo usando desde su alta, tiempo en que no estaba instaurada la huella, utilizando las instalaciones. Por lo tanto, considerando que han tratado datos incluidos en el artículo 9.1, sin que concurran las excepciones que se prevén en el 9.2 del RGPD, se considera que LLEFISA ha infringido tanto el artículo 9 como el artículo 6 RGPD al realizar un tratamiento de datos sensibles sin legitimación para ello. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 13 (Información al interesado); Art. 9 RGPD (Datos sensibles); Art. 6 RGPD (Legitimación del tratamiento) |
|
Resolución: |
|
27.000 € en total [2.000 € (Art. 13 RGPD); 15.000 € (Art. 9 RGPD); 10.000 € (Art. 6 RGPD)] |
|
|
|
|
|
- Minimización de datos – Medios de comunicación - |
|
Sancionan con 187.000 € al Diario Público por mostrar en una noticia el nombre de víctimas violencia de género |
|
Se denunció por parte de la Delegación del Gobierno contra la Violencia de Género la publicación en distintos medios de comunicación de una noticia ilustrada con un vídeo en el que aparecen imágenes (en los segundos 21 a 24 del video) de una pantalla de ordenador en la que se visualiza una hoja de Excel con datos personales de 56 mujeres registradas en el sistema VioGén como víctimas de violencia de género y distintas clasificaciones en función de sus circunstancias concretas. En el caso concreto, la entidad sancionada (DISPLAY CONECTORS SL), a través de la web www.publico.es publicó una noticia que versa sobre mujeres de más de 65 años que se encuentran en riesgo por violencia de género, la cual se ilustraba con un vídeo en el que se veía la pantalla de un ordenador en la que se visualizaba una hoja Excel con los nombres y apellidos de 56 víctimas de violencia de género así como distintas clasificaciones en función de sus circunstancias concretas (pendientes O.P., activa sin O.P., activas no localizables, nuevas cesadas). La hoja Excel emitida en el vídeo con los datos de las personas víctimas de violencia de género se obtuvo en la grabación de una entrevista realizada por MEDIASET en el cuartel de la Guardia Civil de Las Rozas. En dicha entrevista se grabó durante unos segundos la pantalla de un ordenador en la que aparecía la hoja con los mencionados datos personales de las víctimas de violencia de género. No se pone en cuestión la libertad de información de los mede comunicación sino la ponderación con el derecho a la protección de datos en base a la proporcionalidad y necesidad de publicar datos personales, en este caso, de 51 víctimas de violencia de género, pues tal situación podría haberse resuelto fácilmente con la utilización de procedimientos técnicos habituales para impedir dicha difusión, tales como el pixelado de la imagen donde aparece la pantalla del ordenador con los datos personales de las víctimas La difusión del nombre y apellidos de 51 víctimas de violencia de género las convierte en personas identificadas que puede ser reconocidas por terceros, lo que supone un riesgo muy alto y muy probable de que puedan sufrir daños en sus derechos y libertades. Así ha acontecido en otros supuestos de difusión de datos personales de víctimas de violencia de género. Y ello cuando no es un tratamiento proporcional ni necesario en relación con las finalidades de información perseguidas. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.c) RGPD (Minimización de datos) |
|
Resolución: |
|
187.000 € |
|
Anotaciones: |
|
Estos mismos hechos ya fueron sancionados a otras dos entidades (El Diario Vasco y Diario Hoy) en los procedimientos PS-00650-2022 y PS-00662-2022 |
|
- Minimización de datos – Administración Pública - |
|
La AEPD apercibe a la Consejería de Economía, Conocimiento y Empleo de Canarias por incluir en la condición "no binario" de su formulario de contacto |
|
Por parte del reclamante se denuncia que, para presentar un escrito dirigido al la CONSEJERÍA DE ECONOMÍA, CONOCIMIENTO Y EMPLEO DE Canarias a través de su página web, tiene que facilitar obligatoriamente datos que afectan a su intimidad; según afirma, en el formulario relativo a “Conciliación previa en conflictos laborales” consta una pregunta relativa al sexo/género y como respuesta hay que indicar mujer, hombre y no binario; considera el reclamante que se encuentra obligado a facilitar datos relativos a su orientación sexual, no encontrándose la entidad reclamada legitimada para recabar dichos datos. La Consejería responde indicando que este componente forma parte del fragmento para que aquellos procedimientos que lo necesiten puedan incorporarlo (por ejemplo, aquellos que toman alguna medida de discriminación positiva hacia la mujer). Señala la AEPD que a efectos estadísticos la normativa española mantiene al igual que la mayoría de los países europeos, el modelo binario de sexo: hombre y mujer, que aparece a nivel normativo en el artículo 170 del Decreto de 14/11/1958 por el que se aprueba el Reglamento de la Ley del Registro Civil. Como la Consejería alega en el procedimiento la variable "sexo" con las respuestas “mujer/hombre”, es necesario para fines estadísticos y se encuentra previsto en el artículo 26 de la Ley 12/1989, de 9 de mayo, de la Función estadística pública. También la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres, quien en su artículo 20, Adecuación de las estadísticas y estudios, quien exige incluir la variable sexo en la recogida de datos por parte de los poderes públicos. Ahora bien, dicha normativa en ningún caso señala que a efectos estadísticos en los procedimientos o formularios que se recaban datos ha de incluirse la respuesta no binario. La variable presente en el formulario era la de “sexo/genero”, y las respuestas u opciones posibles “hombre/mujer/no binario”. El modelo de formulario con la cuestión planteada por el reclamado no se ajusta a la finalidad perseguida, supuestamente la de obtener datos con fines estadísticos, vulnerando el principio de minimización por considerarse que los datos de esta forma recabados no son necesarios y resultan excesivos. Dicho formulario cuestione el "sexo sentido", con el que se identifica, si coincide con el asignado al nacer: mujer/hombre, o no binario, cuando su sexo sentido, con el que se identifica, no coincide con el asignado al nacer, que se sale del objetivo y la finalidad del formulario dentro del contexto Conciliación previa, que no está orientado ni establecido en ese sentido y no se ha de obligar a las personas a manifestar o a declarar sobre sus creencias personales e intimas, por lo que la declaración supone un dato sensible para el cual la Consejería no se encuentra habilitada a tratar |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.c RGPD (Minimización de datos); Art. 9.1 RGPD (Tratamiento de datos sensibles) |
|
Resolución: |
|
Apercibimiento (Art. 77 LOPDGDD) |
|
|
|
|
|
- Legitimación – Páginas web - |
|
Sancionan a un particular por subir un video a una web para adultos sin que conste legitimación |
|
El presente caso se inicia con motivo del conocimiento por parte de la Agencia de la difusión de un vídeo en varias páginas webs de contenido para adultos, en el que aparece una chica, aparentemente menor de edad, y un hombre adulto manteniendo una conversación a través de chat a distancia. En el recuadro superior de la aplicación se puede ver parte del rostro de la chica (de nariz para abajo) y, en la pantalla inferior, a un hombre mayor acostado boca abajo y desnudo; pero, se aprecia con total nitidez la voz de ambos.. Tras la intervención de la AEPD, se han retirado los videos denunciados y las imágenes encontradas asociadas a los vídeos, excepto una de las miniaturas (pequeña imagen) a pesar de haber solicitado también su retirada. También, se han retirado los resultados de búsqueda de GOOGLE encontrados, pero siguen apareciendo constantemente nuevas réplicas en dichos resultados de búsqueda. La voz es un atributo personal propio e individual de cada persona física que se define por su altura, intensidad y timbre. Dotada de rasgos distintivos únicos y singulares que la individualizan de manera directa, asociándola a un individuo concreto, es moldeada al hablar, pudiendo conocer, a través de ella la edad, el sexo, el estado de salud del individuo, su manera de ser, su cultura, su origen, su estado hormonal, emocional y psíquico. Elementos de la expresión, el idiolecto o la entonación, también son datos de carácter personal considerados conjuntamente con la voz. El operador competente facilitó la información relativa a la IP desde la que se subieron los vídeos a la plataforma. La identidad de la persona asociada a dicha IP (**IP.1) es A.A.A., con DNI ***NIF.1 y domicilio en ***DIRECCIÓN.1. Así pues, el nombre del responsable de la IP desde la que se subieron los vídeos a la mencionada plataforma coincide con el que se identifica el hombre que aparece en el vídeo; considerando que se ha procedido al tratamiento de datos sin causa de legitimación alguna. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 6 RGPD (Legitimación del tratamiento) |
|
Resolución: |
|
10.000 € (6.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
- Legitimación – Redes Sociales - |
|
10.000 € por publicar un testimonio para captar clientes sin contar con autorización del interesado |
|
La reclamante interpuso reclamación ante la AEPD, denunciando que por parte de A.A.A. utilizó con fines promocionales un vídeo en el que aparece la imagen, la voz, nombre, primer apellido y localidad de residencia de la parte reclamante, junto con su testimonio, grabado con ocasión de un curso de formación al que asistió, sin haber contado con su consentimiento, con el fin de captar nuevos clientes. La estrategia de captación de clientes se realiza mediante un reto que dura cinco días en el que se muestran unos vídeos y se hace una sesión en directo. Se constata la existencia del vídeo con su testimonio, así como captura de pantalla que acreditan su publicación, asociado a su nombre, primer apellido y localidad de residencia en la web de A.A.A. Dado que la parte reclamada no ha acreditado la licitud del tratamiento de los datos de la parte reclamante ni su consentimiento para dicho tratamiento, así como tampoco resulta aplicable ninguna otra base de legitimación, de lo que se infiere una vulneración de la normativa en materia de protección de datos. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 6 RGPD (Legitimación del tratamiento) |
|
Resolución: |
|
10.000 € |
|
|
|
|
|
- Cartelería y legitimación – Videovigilancia - |
|
5.300 € al propietario de una vivienda por tener cámaras en el interior de un piso compartido |
|
La reclamante manifiesta que alquiló una habitación en una vivienda al reclamado sin que este le informara de que en dicha vivienda, en un pasillo de la misma, se encuentra instalada una cámara de videovigilancia que captaría zonas comunes y la entrada de la habitación de la reclamante, así como el acceso a baño y cocina de la vivienda. Entiende la reclamante que dicha cámara afecta a su intimidad y contraviene la normativa de protección de datos. Por su parte, el reclamado reconoce la existencia de la cámara, e indica que nunca intentó ocultarla, estando a la vista de todos y que los compañeros de piso siempre estuvieron de acuerdo puesto que es una seguridad para sus pertenencias que tienen en sus habitaciones, y que la reclamada tuvo pleno conocimiento de la existencia de la cámara y nunca expresó disconformidad hasta pasados 8 meses cuando decidió irse. Sin embargo, no ha demostrado que la reclamante prestara su consentimiento al tratamiento de datos que se estaba llevando a cabo. La AEPD recuerda que el ámbito “personal y doméstico” en la captación de imágenes del interior del domicilio privativo desaparece al ceder el uso y disfrute temporal de la vivienda privativa a un tercero pasando a convertirse en un ámbito reservado a su más estricta intimidad personal y familiar y amparado igualmente por la normativa de protección de datos. La presencia de cámaras interiores no solo supone un control excesivo del morador y/o acompañantes, sino un “tratamiento de datos” que en este caso no se justifica. Además, la instalación de una videocámara, aun cuando se demostrase que estuviera legitimada, conllevaría la obligación ineludible de advertir su presencia mediante un dispositivo informativo, sin que se haya acreditado la existencia del mismo. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 13 RGPD (Información al interesado); Art. 6 RGPD (Legitimación del tratamiento) |
|
Resolución: |
|
5.300 € en total [5.000 € (Art. 6 RGPD); 300 € (Art. 13 RGPD)] |
|
|
|
|
|
- Encargo del tratamiento – Empresas de mensajería - |
|
Sancionan con 60.000 € a una empresa de mensajería por no notificar una brecha de seguridad a tiempo a los Responsables de Tratamiento |
|
Por parte de la POLICÍA LOCAL se aporta informe en el que se pone de manifiesto el hallazgo en un solar de correspondencia abandonada con datos personales (nombre y apellidos, y dirección postal), hasta un total de 1.404 cartas pertenecientes a diversas empresas (entre otras La Caixa, BBVA, Energía XXI y Endesa), y en las que figuraba el logo de la empresa HISPAPOST. Contactada con la empresa, HISPAPOST reconoce que la correspondencia encontrada debía haber sido repartida por empleados de CI POSTAL, sin entender el motivo de que no se llevara a cabo dicho reparto y fuera abandonada la correspondencia. En el presente caso, HISPAPOST es el encargado del tratamiento de datos de carácter personal de diversas empresas (Amplifón Ibérica S.A.U., Banco Sabadell, S.A., BBVA, S.A., Caixabank Facilities Management, S.A., Equifax Ibérica, S.L., Endesa, S.A., Naturgy Clientes, S.A., Servinform, S.A., Ayuntamiento de Madrid, Grupo Medina Cuadros, Ayuntamiento de Sevilla, Asociación Española contra el Cáncer, Asisa, PSA Financial Services) con las que ha suscrito el correspondiente contrato de encargo para prestarlas servicios de distribución postal. Toda vez que en septiembre de 2022 la Policía Local contactó con HISPAPOST SA para informarla del hallazgo en un solar de la correspondencia abandonada y que las notificaciones que ésta hizo a sus clientes tuvieron lugar entre el 13 y el 21 de octubre de 2023, se considera que HISPAPOST no ha cumplido con lo establecido en los correspondientes contratos de encargado suscritos con tales clientes, que son, a la postre, los responsables del tratamiento de los datos personales afectados. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 28.3 RGPD (Contenido del encargo de tratamiento) |
|
Resolución: |
|
60.000 € |
|
|
|
|
|
- Derecho de acceso – Agencia de viajes - |
|
10.000 € a EDREAMS por no atender a tiempo un ejercicio de derecho |
|
En el presente caso, con fecha 16 de noviembre de 2020 la reclamante solicitó a EDREAMS el ejercicio del derecho de acceso a sus datos personales mediante correo electrónico, enviado al buzón de correo electrónico “A.A.A.”. Esta dirección de correo electrónico es proporcionada por EDREAMS a sus clientes como dirección de contacto, según se ha podido comprobar en los “Términos y Condiciones de Opodo.de” aportados por EDREAMS. En la respuesta de EDREAMS a la solicitud formulada por la parte reclamante se le indica que contacte con un número de teléfono del departamento de atención al cliente correspondiente, y se dan los teléfonos de Alemania, Suiza y Austria. El 19 de noviembre de 2020 la parte reclamante volvió a solicitar a EDREAMS la atención de su solicitud por correo electrónico, insistiendo en que contestarán por escrito, sin obtener ninguna respuesta (aparte de una respuesta estándar en la que se indicaba que la solicitud había sido recibida). EDREAMS alega que la solicitud recibida no utilizó el canal oficial habilitado para la gestión de este tipo de solicitudes, por lo que no tuvo constancia de haber recibido ninguna solicitud. Aunque EDREAMS tenía previsto un proceso de escalado, no fue utilizado por el empleado que recepcionó el correo. Indica que “Si bien este proceso estaba claramente definido, el agente no procedió con el mismo, y además, ante el segundo correo recibido, este no ejerció acción alguna.”. La AEPD entiende que la falta de atención de la solicitud formulada por la reclamante no se debe a un “error humano aislado” como argumenta EDREAMS, sino que existe culpabilidad por falta de la diligencia exigible a EDREAMS en la adecuada tramitación de ejercicio del derecho para el que tiene previsto un procedimiento a través de un formulario, pero esto no le exime de la obligación de atender aquellas otras solicitudes que le sean dirigidas sin el uso de dicho formulario. No es hasta el 17 de octubre de 2022 que EDREAMS remite un correo a la reclamante, contestando a la solicitud del ejercicio del derecho de acceso en una búsqueda sobre la dirección de correo electrónico de la persona que envió la solicitud. Por ello, se considera que EDREAMS no ha atendido debidamente el ejercicio del derecho de acceso en el plazo de un mes a partir de la recepción de la solicitud formulada por la parte reclamante. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 15 RGPD (Derecho de acceso) |
|
Resolución: |
|
10.000 € |
|
|
|
|
|
- Política de privacidad y Cookies – Páginas web - |
|
Las sanciones por mala adaptación web a la normativa de protección de datos continúan: hasta 4.000 € |
|
Por parte de un usuario, se denuncia el incumplimiento de la normativa legal vigente sobre: privacidad, cookies o aviso legal de la página web www.cementeriodemarmotas.com. Por parte de la AEPD, se procede a la investigación de dicha web y observa: a) Sobre el tratamiento de datos personales: A través de la página web en cuestión se podía obtener datos personales como el nombre, el correo electrónico o el asunto, a través del link de “contacto”. b) Sobre la política de privacidad: Se comprobó como en la parte inferior de la página inicial de la web en cuestión existía un enlace a la “Política de Privacidad”. No obstante, este enlace es encontraba inactivo, imposibilitando el acceso a la información. La única información que se suministraba sobre la gestión de los datos personales era a través del enlace existente en el banner de información sobre cookies situado en la página principal, donde la información referente a la protección de datos hacía referencia a las normas derogadas LOPD 15/99 y RLOPD 1720/2007 c) Sobre las cookies, se pudo observar múltiples deficiencias: 1º.- Sobre la utilización de cookies antes de que el usuario preste su consentimiento: Al entrar en la web por primera vez, una vez limpiado el equipo terminal de historial de navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna acción sobre la página web, se comprobó como la web en cuestión utilizaba cookies que no eran técnicas o necesarias 2º.- Sobre el banner de información sobre cookies en la primera capa: Al entrar en la web por primera vez, una vez limpiado el equipo terminal de historial de navegación y de cookies, aparecía un banner de información sobre cookies en la parte inferior de la página principal, con el mensaje: “En esta web te metemos cookies... Todo sea para que disfrutes al máximo –” constatando que no se identificaba las finalidades para las que se utilizarán las cookies y si éstas son propias o también de terceros. 3º.- Sobre la posibilidad de gestionar las cookies utilizadas en la web: Se constató que no existía ninguna posibilidad de rechazar las cookies que no fueran técnicas o necesarias o gestionarlas de forma granular a través de un panel de control, al no existir éste en la web. 4º.- Sobre el acceso a la “Política de Cookies”: Se constató que no existía ningún tipo de información en la web sobre la política de cookies, pues el enlace existente en la parte inferior de la página principal «Política de Cookies» se encontraba inactivo. Si bien todas las incidencias anteriormente reseñadas fueron solventadas a lo largo del procedimiento sancionador, indica la AEPD que eso no hace que desaparezca el incumplimiento que quedó constatado, manteniendo en consecuencia ambas infracciones |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 13 RGPD (Información al interesado); Art. 22.2 LSSI (Consentimiento de cookies) |
|
Resolución: |
|
4.000 € en total (2.000 € por infracción) |
|
|
|
|
|
- Confidencialidad – Asociaciones - |
|
Sancionan con 2.000 € a APROSER por enviar un correo revelando el e-mail personal en lugar del vinculado a la asociación |
|
El reclamante, que forma parte de la junta directiva de la asociación de profesionales de la seguridad privada de España, denuncia el envío de varios mensajes de correo electrónico remitidos por el presidente de la asociación a un único destinatario (un socio que al parecer había manifestado no entender acciones desarrolladas por el presidente y la junta directiva). En estos mensajes se ha puesto en copia al resto de miembros de la junta directiva incluido el reclamante, que se queja de que se utilizara su dirección de correo electrónico personal en lugar de la vinculada al dominio de la asociación. La asociación no ha presentado alegaciones en el procedimiento. La AEPD considera que la asociación de profesionales de la seguridad privada de España ha tratado datos personales del reclamante, sin adoptar las medidas técnicas y organizativas, de todo tipo, exigidas por la normativa en materia de protección de datos de carácter personal, al enviar correos electrónicos a una pluralidad de personas utilizando cuentas de correo de carácter personal y no las vinculadas al dominio de la asociación, vulnerando la confidencialidad en el tratamiento de los datos de carácter personal, careciendo de medidas técnicas y organizativas de seguridad apropiadas en relación con el uso de las cuentas de correos corporativas y personales en función de los posibles riesgos estimados |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.f RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
|
Resolución: |
|
2.000 € en total [1.500 € (Art. 5.1.f RGPD); 500 € (Art. 32 RGPD)] |
|
|
|
|
|
- Información, medidas de seguridad y EIPD – Datos biométricos - |
|
Más sanciones por la implantación de huella para el fichaje horario: 365.000 € a Grupo CTC |
|
Se reclama que en la entidad CTC EXTERNALIZACIÓN, S.L. se han solicitado datos biométricos, la huella dactilar, a los empleados con la finalidad de implantar un sistema de fichaje basado en ese dato. Se expone que en el momento de tomar los datos biométricos no se comunicó que la información se encontraba en el portal del empleado, localizada en la parte más recóndita de la aplicación a la que no tienen acceso todos los trabajadores que emplean el nuevo sistema de fichaje. Se hace constar por la entidad que dicho sistema tiene carácter voluntario. En dicho procedimiento se analizan distintos aspectos: - Sobre la información facilitada: se ha acreditado que la parte reclamada no informó correctamente sobre el tratamiento. La cláusula informativa a que hace referencia y que habría sido incluida en el “portal del empleado” de la empresa en octubre de 2021 adolece de importantes defectos. No incluye cuál/es son los tratamientos objeto de dicha cláusula (No indica si está activado ni si recoge la huella y, desde luego, no incluye el dato de la huella dactilar entre los que son objeto de tratamiento.), sino que se refiere a una pluralidad de tratamientos, como es gestión laboral, confección de nóminas, formación, prevención de riesgos...; la base de legitimación inicialmente era relación contractual laboral, y posteriormente se corrigió a cumplimiento de una obligación legal (siendo dos bases de legitimación diferentes); ni se informa de la posibilidad de presentar una reclamación ante la Autoridad de Control - Sobre las medidas de seguridad del sistema: la AEPD pudo constatar que en el sistema constan almacenados y relacionados los datos identificativos del empleado y su hash de huella. CTC no ha acreditado cómo queda garantizado el borrado de la huella tras su captura. En la extracción de los datos consta que el hash de la huella se encuentra en una tabla diferente a la tabla donde se encuentran los datos identificativos de los empleados. Sin embargo, no se ha podido constatar las posibles medidas de seguridad que pudieran estar implantadas para separar el acceso a ambas tablas. - Sobre la evaluación de impacto realizada: En este procedimiento, la necesidad de elaboración de una evaluación de impacto de protección de datos no es cuestionada por CTC, que además ha remitido la elaborada en relación con este tratamiento. Para analizar el cumplimiento de esta obligación por parte de CTC, la AEPD parte de la consideración realizada CTC de que no estaba tratando datos calificados como especiales en el artículo 9 del RGPD, alegando que no utilizaba un sistema de identificación, sino autenticación. Sin embargo, la AEPD deja claro que ambos sistemas (identificación y autenticación) constituyen un tratamiento de categorías especiales de datos personales. Por ello, la AEPD descarta la validez de la EIPD presentada, ya que en ningún momento este documento tiene como base el tratamiento de datos personales de categoría especial como son los biométricos. Asimismo, considera que la EIPD no cumpliría el análisis de necesidad, pues aun cuando un sistema de huella dactilar puede ser útil, no tiene por qué ser objetivamente necesario (siendo esto último lo que realmente debe estar presente). Se han de analizar las opciones y alternativas antes de instaurar un sistema nuevo que supone una exagerada limitación del derecho de cada usuario, cuando pueden existir medios menos invasivos de la intimidad, y no optar por lo práctico o ágil y cómodo, cuando están en juego derechos de sus titulares |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 13 RGPD (Información al interesado); Art. 32 RGPD (Medidas de seguridad); Art. 35 RGPD (Evaluación de impacto) |
|
Resolución: |
|
365.000 € en total [200.000 € (Art. 13 RGPD); 65.000 € (Art. 32 RGPD); 100.000 €(Art. 35 RGPD)] |
|
|
|
|
|
- Limitación de la finalidad – Redes Sociales - |
|
10.000 € a un particular por colgar en YouTube un vídeo de un acto procesal sin anonimizar |
|
El reclamante denuncia que por parte de B.B.B. se ha publicado en YouTube un vídeo correspondiente con la grabación de una videoconferencia relativa a un acto procesal a la que tuvo acceso al ser parte interviniente como demandado en el proceso. En el vídeo aparecen los datos personales de los intervinientes (nombre, apellidos, cargo, imagen y voz) y fue expuesto íntegramente en el canal YouTube por B.B.B.y en un dominio del que es titular, junto con escritos que contienen los nombres y apellidos del reclamante y de otras personas. La entrega de la videoconferencia a B.B.B. responde al cumplimiento de las obligaciones del Letrado de la Administración de Justicia ante la solicitud de la parte, y dicho tratamiento de datos no se considera incompatible con el fin inicial para el que dichos datos fueron recogidos y son tratados, por lo que la cesión del soporte a la parte que la ha solicitado sería conforme a la normativa de protección de datos personales, produciéndose en un principio con fines jurisdiccionales en base a la tutela judicial efectiva a los profesionales del derecho. Ahora bien, el tratamiento de los datos posterior a la cesión se encuentra sujeto a la normativa de protección de datos; y la utilización posterior por B.B.B. no tendría el carácter de tratamiento de datos personales realizados con un “fin jurisdiccional” ni puede ampararse en una pretendida publicidad procesal que propugna el reclamado. En el mismo sentido, un escrito que se dirige al Juzgado para la celebración del acto procesal conteniendo datos personales del reclamante y sus clientes no puede ampararse en esa publicidad procesal. Ni el reclamante ni las partes intervinientes (Jueza, Fiscal, Secretaria) tendrían una expectativa de uso razonable de exposición de sus datos a través de YouTube, en el que pueden permanecer por tiempo indeterminado. Se ha producido un cambio de responsable del tratamiento con una finalidad pretendida, para la que se han de cumplir todas las obligaciones que impone el RGPD. Y es que la finalidad alegada por B.B.B (dar a conocer la doctrina del asunto, al considerar planteada de forma defectuosa la demanda por el demandante) podría haberse conseguido sin la voz del reclamante y sin los datos que le hacen identificable en documentos que adjuntó al video, se podría haber informado y obtenido el mismo fin de ilustrar el defecto en la formulación de la demanda del reclamante con pleno respeto del derecho del reclamante, pudiendo convivir ambos sin necesidad de conflicto. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.b) RGPD (Limitación de la finalidad) |
|
Resolución: |
|
10.000 € |
|
Anotaciones: |
|
- Consentimiento – Cookies - |
|
Multan con 10.000 € al periódico digital LA VANGUARDIA por la instalación de cookies sin consentimiento del usuario |
|
Se denuncia por el reclamante que la entidad LA VANGUARDIA EDICIONES, al visitar su página web se instalan cookies propias y de terceros que no son necesarias pese a rechazarlas. Además, se indica que debe existir un mecanismo en la web que retarda su instalación. Por parte de la AEPD, tras realizar las actuaciones de investigación pertinentes, observa que, una vez limpiado el equipo terminal de historial de navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna acción sobre la página, se comprueba que se múltiples cookies, varias de ellas de carácter analítico, publicitarias o cuya finalidad no han podido ser identificadas. También se ha detectado como, al cabo de un tiempo de haber accedido a la página principal de la web sin realizar ninguna acción sobre la misma, ésta empieza a utilizar nuevas cookies de terceros que no son técnicas o necesarias. Si se opta por aceptar todas las cookies cliqueando en la opción «Aceptar y cerrar», se comprueba como la web sigue utilizando las cookies detectadas al comienzo de la visita, antes de prestar el consentimiento. Si se desea rechazar todas las cookies, cliqueando en la opción de “Rechazar todo”, cliqueando después en la opción “Guardar mis preferencias”, se comprueba como la web sigue utilizando las cookies detectadas al comienzo de la navegación. Si el usuario ha prestado el consentimiento inicial para que la web utilice cookies que no sean técnicas o necesarias y desea, en un momento determinado, modificar dicho consentimiento, existe la posibilidad de acceder al panel de control de cookies, pero se comprueba como la web sigue utilizando cookies tanto propias como de terceros que no son técnicas o estrictamente necesarias, instaladas cuando se prestó el consentimiento. Como consecuencia, se han detectado múltiples deficiencias consistentes en la utilización de cookies propias y de terceros que no son técnicas o necesarias aunque el usuario no haya prestado su consentimiento; la imposibilidad de rechazarlas o poder gestionarlas de forma granular; y la imposibilidad de retirar el consentimiento una vez prestado. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 22.2 LSSI (Consentimiento de cookies) |
|
Resolución: |
|
10.000 € (8.000 € por pago voluntario) |
|
|
|
|
|
|
|
- Derecho de oposición – Comunicaciones comerciales - |
|
7.500 € por enviar publicidad sin consentimiento y facilitar un correo inexistente para la atención de derechos |
|
Denuncia el reclamante que, tras descargarse la app “Shop Buo”, empezó a recibir emails comerciales de la empresa en cuestión y después de darse de baja, a través del enlace que se incluye en los correos y de recibir la confirmación de la baja siguió recibiendo correos electrónicos publicitarios de la empresa ROUNDED TECHNOLOGIES. Accedió a la “Política de Privacidad” de la web https://www.shopbuo.com (https://www.shopbuo.com/politica-deprivacidad), e intentó ponerse en contacto con el responsable de la misma a través del correo electrónico que se indicaba a tal efecto, hola@pulpo.club pero recibió una respuesta instantánea donde le informaban de que dicha dirección de correo no era válido o no existía. Los hechos descritos supone una doble infracción por la entidad ROUNDED TECHNOLOGIES: de un lado por el envío de correos electrónicos publicitarios al reclamante habiendo éste solicitado que no le envíen más publicidad; y por otro lado, facilitar una cuenta de correo para el ejercicio de derechos que es incorrecta o no existe, supone una vulneración del art. 21 RGPD. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 21 LSSI (Comunicaciones comerciales); Art. 21 RGPD (Oposición al tratamiento) |
|
Resolución: |
|
7.500 € [2.500 € (Art. 21 LSSI); 5.000 € (Art. 21 RGPD)] |
|
|
|
|
|
- Confidencialidad – Asesorías - |
|
145.000 € a una asesoría por el robo de una mochila con USB con datos personales |
|
La entidad AFIANZA notifica la brecha de seguridad a la AEPD el 30 de junio de 2021, señalando que se ha producido el robo de una mochila con un dispositivo USB con datos personales que no estaba cifrado ni tiene implantadas ninguna otra medida de protección de su contenido frente a terceros no autorizados. Indica que el USB se encontraba dentro de una mochila, en una estantería de un despacho particular ubicado en unas oficinas a las que solo se puede entrar tras traspasar dos puertas generales en la entrada del edificio, una más de acceso a AFIANZA, transitar por un pasillo de veinte metros y finalmente abrir y entrar en ese despacho. Alega AFIANZA que no se ha sufrido una brecha de confidencialidad por cuanto que no se ha podido acreditar que se haya producido un acceso por un tercero no autorizado a la información contenida en el USB robado, pues el único hecho probado es el robo del dispositivo, pero no el acceso a su contenido. Por su parte la AEPD indica que es precisamente la falta de medidas que impidan el acceso a la información la que hace que, en el momento de la sustracción de un dispositivo de almacenamiento externo (USB) con información de carácter personal, (concretamente información relativa a un procedimiento de investigación judicial penal), supone sin duda alguna una vulneración de la confidencialidad, pues lo relevante para entender vulnerada la confidencialidad es que la información se encuentra totalmente a la libre disposición de terceros no autorizados. Respecto a las medidas de seguridad, AFIANZA indica que el art. 32 RGPD, al no prever un listado de medidas de seguridad, no puede exigirse ni sancionarse por no tener el USB cifrado, existiendo otras medidas de seguridad adicionales. Por el contrario, la AEPD entiende que las medidas de seguridad implantadas no funcionaron pues se produjo el acceso de una persona ajena a la entidad a las dependencias sustrayendo el dispositivo USB no cifrado, por lo que queda acreditado la falta de medidas de seguridad adecuadas al momento de los hechos, deduciendo una falta de diligencia debida. Y es que debe evaluarse el riesgo que supone el almacenamiento de categoría de datos sensibles en dispositivos externos y portátiles (contexto concreto del tratamiento), entre ellos, claramente el riesgo de pérdida o sustracción (riesgo de probabilidad alta) y adoptar las medidas de seguridad adecuadas. En relación con esto último, el estado de la técnica permite de forma fácil y poco costosa implementar una medida de seguridad de protección en caso de almacenamiento de datos personales en dispositivos externos y portátiles tipo USB: su cifrado o cualquier otra medida técnica de protección frente al acceso por parte de terceros no autorizados (cifrado de los datos, contraseña para el acceso, etc). Es una medida básica, accesible y de implantación sencilla, de conformidad, como se ha dicho, con el estado actual de la técnica. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
|
Resolución: |
|
145.000 € en total [90.000 € (Art. 5.1.f RGPD); 55.000 € (Art. 32 RGPD)] |
|
|
|
|
|
- Cartelería y minimización – Videovigilancia - |
|
3.000 € por instalar cámaras en el trabajo y no informar a los trabajadores ni tener carteles |
|
Los hechos traen causa de la reclamación de fecha 03/08/22 en dónde se traslada la presencia de dispositivo de captación de imágenes (Webcam) en zona de trabajo, sin informar adecuadamente al conjunto de trabajadores de la empresa Carreteras y Asfaltos S.L, estando orientado de manera desproporcionada hacia espacio de trabajo. Carreteras y Asfaltos S.L solo dispone de cartel de la empresa instaladora en dónde no se indica el responsable del tratamiento de datos o la finalidad del sistema en cuestión. No se ha aportado documento alguno (vgr. contrato) en dónde se plasme la cláusula correspondiente de protección de datos o documento informativo de la presencia de las cámaras o dispositivos de captación de imágenes al conjunto de trabajadores. Por su parte, la empresa aporta testigos para acreditar el conocimiento de la presencia de dispositivos de captación de imágenes, pero la AEPD desestima dicha petición, ya que al ser trabajadores su apreciación subjetiva puede venir condicionada por la situación de alta en la misma, siendo lo relevante en el presente caso la aportación de los contratos en dónde se informaba a los mismos de la presencia de cualquier tipo de dispositivo de obtención de imágenes. Respecto al principio de minimización, consta acreditado la instalación de un dispositivo a modo de Webcam que afectaba a los trabajadores de la empresa en el desarrollo de sus actividades. Si bien la instalación de una Webcam no supone propiamente un “sistema” ad hoc, pero sí que se equiparan a las mismas al ser “un medio técnico analógico” que son utilizados en la mayor parte de las ocasiones como una medida de control excesiva en espacios reservados, ajeno en todo caso al ser interiores a las funciones de protección de las instalaciones y/o enseres del Centro. Respecto a la información mediante cartelería, los carteles aportados por Carreteras y Asfaltos S.L en prueba documental de fecha 03/08/23 no son los carteles homologados exigidos en la normativa actual, dado que lo único de que informan es de la empresa instaladora del sistema, por lo que supone una afectación al contenido del artículo 13 RGPD, al carecer de cartelería informativa con una dirección efectiva a la que poder en su caso dirigirse o indicar en su caso el responsable principal del tratamiento de los datos. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.c) RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado) |
|
Resolución: |
|
3.000 € en total [2.000 € (Art. 5.1.c RGPD); 1.000 €(Art. 13 RGPD); 2.400 € por pago voluntario] |
|
|
|
|
|
- Incumplimiento resoluciones – Periódicos digitales - |
|
Sancionan a 20 MINUTOS por no haber adoptado las medidas provisionales requeridas por la AEPD |
|
Por parte de la AEPD se realizó una valoración provisional de los hechos analizados en el marco de las actuaciones previas de investigación del expediente EXP202400189, estimando que existían indicios racionales de que la exposición pública de la imagen de la víctima de un presunto delito a través de una publicación de 20 MINUTOS EDITORA, S.L. podía constituir una vulneración de la normativa de protección de datos personales. Por ello, atendiendo a la naturaleza especialmente sensible de los datos personales divulgados y a la intensa afectación de la intimidad de la persona a que se refieren, la AEPD dictó en el mencionado expediente la adopción de medidas provisionales, solicitando la retirada de los contenidos señalados de las direcciones web desde las que sean accesibles, evitando en la medida en que el estado de la tecnología lo permita, la resubida o recarga de copias o réplicas exactas por el mismo u otros usuarios; e imposibilite su acceso y disposición del original por terceros, pero garantice su conservación, a efectos de custodiar las evidencias que puedan ser precisas en el curso de la investigación policial o administrativa o del proceso judicial que pudieren instruirse. Por su parte, 20 MINUTOS EDITORA remitió respuesta manifestando que no se incluía en dicha noticia ningún dato personal de la presunta víctima, y por tanto no vulneraba la legislación en materia de protección de datos de carácter personal. No constando el cumplimiento de la resolución de la AEPD en relación con las medidas, y no habiendo manifestado la intención de interponer recurso contencioso-administrativo, ni se tiene constancia de que el mismo se haya interpuesto ni que se haya solicitado suspensión cautelar de la resolución; se considera vulnerado el artículo 58.2.d) del RGPD. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 58.2 RGPD (Potestades de corrección) |
|
Resolución: |
|
45.000 € (27.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
|
|
|
|
- Consentimiento – Cookies - |
|
Continúan las sanciones por cookies: hasta 10.000 € |
|
Denuncia el reclamante que, tras el largo tiempo transcurrido desde su primera reclamación ante la AEPD, la web www.motorpasion.com continúa almacenando cookies sin el consentimiento del usuario. Tampoco aparece ningún aviso legal, con la información que debe figurar en el mismo. Por parte de la AEPD, se comprueba que al entrar en dicha web por primera vez, una vez limpiado el equipo terminal de historial de navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna acción sobre la página web, se utilizan las siguientes cookies de orientación o de publicidad, diseñadas específicamente para reunir información de la visualización de las páginas visitadas para enviar publicidad en base a los temas relevantes que le interesan al usuario. Al entrar en la web por primera vez, una vez limpiado el equipo terminal de historial de navegación y de cookies, sin realizar ninguna acción sobre la página web, aparece un banner de información sobre cookies. Si se cliquea en la opción “Configuración”, con el objetivo de acceder al panel de control de cookies, se observa que la web empieza a utilizar tres nuevas cookies de terceros (de “youtube.com” y de “doubleclick.net”), aparte de las ya mencionadas anteriormente, sin ningún consentimiento previo del usuario. Si se desea rechazar todas las cookies, cliqueando en la opción de “Rechazar todo” se comprueba como la web sigue utilizando las cookies de terceros (de “youtube.com” y de “doubleclick.net”), detectadas anteriormente. Asimismo, no existe ningún tipo de información sobre cookies en la web. Tampoco existe ningún link o enlace a la “Política de Cookies” o página anexa que informe sobre el uso de cookies; así como tampoco existe la posibilidad de modificar el consentimiento prestado al panel de control de cookies, al que se podía acceder desde el banner de información que aparecía en la página inicial. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 22.2 LSSI (Consentimiento de cookies) |
|
Resolución: |
|
10.000 € (6.000 € por pago voluntario y reconocimiento de responsabilidad) |
|
Anotaciones: |
|
La entidad ya fue sancionada con anterioridad en el procedimiento PS-00086-2023 |
|
- Confidencialidad – Sector energético - |
|
Sanción millonaria a I-DE REDES ELÉCTRICAS INTELIGENTES: 3.500.000 de € |
|
Por parte de I-DE se comunica a la AEPD una brecha de seguridad, detectando el 15 de marzo de 2022 un ataque contra la web de Gestión de Expedientes y Acometidas de I-DE, (GEA). El 16 de marzo de 2022, por la mañana, se produce una ralentización general del acceso a varias webs del grupo Iberdrola. A partir del día 17 no se observa tráfico sospechoso ni afectación en ninguno de los sistemas de servicios en internet del grupo Iberdrola. Del análisis del registro de actividad de la aplicación GEA de los últimos días se concluye con fecha 17 de marzo que se ha producido una exfiltración, entre los días 7 y 15 de marzo de 2022, de aproximadamente 4,5 millones de interesados. En el presente supuesto, se analiza el ataque se inició a través de un aplicativo web de I-DE, aprovechando una vulnerabilidad del mismo y que permitió el acceso a la base de datos de I-DE y que afectó a la confidencialidad de 1.350.000 clientes de I-DE; si bien en el ciberataque no sólo se vieron afectados datos personales de I-DE, sino que, al acceder a la base de datos de I-DE, la cual se encontraba alojada en un sistema en el que coexisten bases de datos de otras empresas del mismo grupo, sino que también se consiguió superar la separación lógica y acceder a las bases de datos de otras dos empresas, IBERCLI y CURENERGÍA, afectando a la confidencialidad de datos personales de clientes de estas dos últimas. En este caso, se ha vulnerado el principio de confidencialidad pues consta que tras sufrir un ataque informático, se produjo un acceso ilegítimo a datos personales y la extracción de los mismos, lo que supuso la pérdida de confidencialidad y de control de numerosos datos personales (nombre y apellidos, DNI, dirección postal, fax, e-mail, teléfono, código cliente). El riesgo de pérdida de confidencialidad se ha materializado, habiendo sido usurpados por un ciberdelincuente, lo que supone que pueden ser utilizados para usos no conocidos (vendidos, comunicados, publicados, etc.), todo ello sin consentimiento de sus titulares, conllevando una pérdida total y absoluta de control sobre los mismos. Además, supone también un riesgo muy alto de uso fraudulento de los mismos (usurpación de identidad, fraude, pérdidas financieras, etc) o de que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para sus titulares. Debe tenerse en cuenta además que la mayoría de los datos personales filtrados son datos que no pueden ser modificados o cambiados por otros (nombre, apellidos, DNI, domicilio…) Esta pérdida de control sobre los propios datos personales se traduce en una vulneración del derecho fundamental a la protección de datos reconocido en el artículo 18 de la Constitución. Asimismo, la aplicación GEA es una aplicación web de I-DE que se utiliza para la gestión de acometidas eléctricas. Está publicada en Internet para su acceso por parte de los usuarios (clientes, instaladores, etc) implicados en el proceso de gestión de esos expedientes de acometida. I-DE está obligada a realizar de forma muy especializada un análisis de los riesgos y una implantación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo de su actividad para los derechos y libertades de las personas. Y en este caso, no fue lo suficientemente diligente a la hora de implantar medidas de seguridad apropiadas para impedir que se produjeran incidentes de seguridad como el que tuvo lugar en el presente caso. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
|
Resolución: |
|
3.500.000 € [2.500.000 € (Art. 5.1.f RGPD); 1.000.000 € (Art. 32 RGPD)] |
|
Anotaciones: |
|
A raíz de este mismo incidente, se han generado dos expedientes sancionadores, uno dirigido contra I-DE y otro contra IBERDROLA, S.A. La AEPD ha optado por diferenciarlos dado que el incidente ha producido dos brechas de datos personales diferentes y diferenciadas. |
|
- Confidencialidad – Sector energético - |
|
3.000.000 de € a IBERDROLA por filtración de datos de clientes |
|
En el presente caso, consta una brecha de seguridad de datos personales categorizada como una brecha de confidencialidad, al haberse producido un ataque informático en un aplicativo web de una de las empresas del Grupo Iberdrola (I-DE) y que ha provocado el acceso ilícito por parte de un tercero no autorizado a datos personales de otras dos sociedades del mismo Grupo y que se encontraban almacenados en la base de datos compartida por diferentes sociedades del grupo y que es administrada y gestionada por IBERDROLA. Por tanto, la brecha de seguridad sufrida ha afectado a datos personales tratados por IBERDROLA en su condición de encargada del tratamiento. La afectación a datos personales de clientes alojados en bases de datos de I-DE no puede formar parte de este procedimiento sancionador dirigido exclusivamente a IBERDROLA, por cuanto I-DE no es responsable ni de los datos personales de clientes afectados que pertenecen a otras empresas, ni de la posible falta de adopción de medidas adecuadas para la protección de la confidencialidad de los datos personales de otras empresas alojados en una base de datos que gestiona IBERDROLA como encargada del tratamiento. Por este motivo, en este procedimiento se analiza de forma independiente la gestión de las bases de datos que realiza IBERDROLA respecto de esas terceras empresas. Y aunque se ha producido un ataque informático contra el aplicativo web de la empresa I-DE, IBERDROLA, como encargada de tratamiento de IBERCLI y de CURENERGÍA, trata datos personales por cuenta de ellas, gestionando y administrando los sistemas y la base de datos donde se alojan los datos personales de estas dos empresas. Sin embargo, el ataque sufrido por I-DE (y que aloja sus datos también en el mismo lugar) ha conllevado la exfiltración de datos personales contenidos en la base de datos referida y pertenecientes a clientes de otras entidades del Grupo, no habiéndose garantizado, por tanto, la confidencialidad de los datos personales de unas y otras. Ello supone el incumplimiento del deber de garantizar la confidencialidad de los datos personales. Todo lo expuesto demuestra que IBERDROLA no contaba con las medidas técnicas y organizativas adecuadas para garantizar una total separación entre los datos personales de las distintas empresas respecto de las cuales actúa como encargada del tratamiento y que, por tanto, se produjera el incidente de seguridad como el que tuvo lugar en el presente caso y que sufrieron CURENERGÍA y IBERCLI, es decir, no aplicó medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo de sus tratamientos de datos personales. |
|
Procedimiento: |
|
Artículos afectados: |
|
Art. 5.1.f) RGPD (Confidencialidad); Art. 32 RGPD (Medidas de seguridad) |
|
Resolución: |
|
3.000.000 € [2.000.000 € (Art. 5.1.f RGPD); 1.000.000 € (Art. 32 RGPD)] |
|
|
|
|