Instala una video cámara en su coche para ahuyentar posibles vándalos y acaba multado por protección de datos

Instala una video cámara en su coche para ahuyentar posibles vándalos y acaba multado por protección de datos
La AEPD sanciona con 4.000 euros a una gestoría que cedió los datos personales de su cliente sin consentimiento.
Las compañías trataban datos personales sin consentimiento de sus titulares
Más de 20 millones de euros ha recaudado la Agencia Española de Protección de Datos (AEPD) en multas en lo que llevamos de año.
Una factura más que onerosa para empresas como Caixabank, Equifax o Vodafone que este año han batido récords reuniendo entre ellas 15 millones del total de las multas impuestas. Sanciones millonarias a las que ahora se suman la compañía EDP Energía y su comercializadora (EDP COMERCIALIZADORA, S.A.U.) a las que la AEPD ha impuesto este mes sendas multas de 1,5 millones de euros por incumplir la normativa de protección de datos.
La investigación de la Agencia comenzó en junio de 2019 tras haber recibido diversas reclamaciones contra la eléctrica en donde se denunciaba principalmente el tratamiento de datos personales sin consentimiento. Dichos tratamientos se llevaban a cabo durante el proceso de contratación cuando se formalizaban a través de un supuesto representante.
Dado que la compañía ya había sido sancionada con anterioridad, la Agencia estimó necesario comprobar una posible conducta regular que vulnerase la normativa de protección de datos.
Con motivo de identificar la raíz de las reclamaciones, la AEPD analizó todos los posibles canales de contratación utilizados por la compañía donde diferencian:
Exceptuando el canal web y el subcanal de tiendas ajenas, todos los canales permitían la contratación del servicio a través de un representante del cliente.
Sin embargo, tras analizar el protocolo utilizado la Agencia identificó importantes deficiencias en el proceso, ya que cuando un cliente seleccionaba esta modalidad de contratación la compañía no requería que se acreditase la representación que se decía ostentar. Al no estar en capacidad de acreditar la representación de quien contrata en nombre de un tercero se da lugar a una posible suplantación de identidad y, en definitiva, al tratamiento de datos personales sin legitimación.
Partimos, por tanto, de que EDP Energía no dispuso de los mecanismos o protocolos necesarios para acreditar de manera fehaciente la representación en la contratación de sus servicios.
Un incumplimiento del artículo 25 del Reglamento General de Protección Datos (RGPD) en tanto en cuanto no implantó las medidas necesarias para aplicar los principios de protección de datos e integrar las garantías necesarias para asegurar los derechos y libertades de los usuarios.
Por otra parte, durante el proceso de investigación la Agencia observó también que, en el canal de contratación telefónica, junto a la contratación del servicio se solicitaba el consentimiento para llevar a cabo otros tratamientos accesorios:
En estos casos, la compañía tampoco acreditaba (dentro del proceso de contratación) que el supuesto representante estuviese autorizado para consentir dichos tratamientos.
El consentimiento se otorgaba tanto a EDP COMERCIALIZADORA, S.A.U. como a EDP ENERGÍA, S.A.U. sin haber sido identificados claramente como responsables del tratamiento.
Atendiendo a lo establecido en el artículo 13 del RGPD, para que el consentimiento sea informado es necesario comunicar al interesado ciertos elementos o aspectos que son cruciales. Información que no se facilita al usuario en el momento de la contratación no estableciendo la identidad del responsable del tratamiento, ni cuáles son las bases de datos de terceros de las que van a obtenerse datos.
Tanto es así que en función del canal de contratación utilizado, la compañía tampoco ofrecía la misma información. En muchas ocasiones era incompleta al no identificar debidamente al responsable del tratamiento, ni detallar cuáles eran las bases de datos de terceros a consultar para obtener datos adicionales o no informaba de la posibilidad de ejercer los derechos recogidos en la normativa. Por todo ello, la Agencia estimó sancionar a ambas compañías con 500.000 euros respectivamente por la infracción del artículo 25 del RGPD y con 1.000.000 de euros respectivamente por la infracción del artículo 13 del RGPD.
Sigue esta y otras noticias a través de nuestro canal de Telegram
Imagen de Free Photos en Pixabay
La compañía recopilaba datos personales de supuestos deudores a través de boletines y diarios oficiales incumpliendo la normativa
Un millón de euros de multa. Ese es el importe que la Agencia Española de Protección de Datos (AEPD) ha impuesto como sanción a la compañía EQUIFAX por incumplir la normativa en materia de protección de datos.
La multinacional con filial en España (EQUIFAX IBÉRICA, S.L.) se encarga de la elaboración de informes de solvencia e historial crediticio de personas. Informes que son puestos a disposición de empresas (sus socios) y que la compañía explota comercialmente alcanzando una cifra de negocio, a fecha 31/12/2019, que ascendió a 42.259.655 €.
Debido al funcionamiento de uno de sus registros, la Agencia recibió cerca de un centenar de reclamaciones informando de diversas situaciones: inclusión de datos personales sin consentimiento, imposibilidad en la contratación de créditos o préstamos debido a la inclusión en ficheros de morosidad por deudas inciertas, etc.
A raíz de la investigación realizada por la AEPD, se constató que la información afectada provenía del denominado Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) propiedad de EQUIFAX. Un sistema de información crediticia que se nutría principalmente del Tablón Edictal Único del BOE (TEU-BOE), de los diarios oficiales de las Comunidades Autónomas, de los Boletines Provinciales (BOP) y a través de la sede electrónica o física de organismos o entidades de Derecho Público. En otras palabras, y según la denunciada, los datos eran obtenidos «de registros y fuentes accesibles al público» y se incluían en el FIJ para su consulta.
Las fuentes accesibles al público es un concepto que existía en la anterior Ley Orgánica de Protección de Datos (LOPD 15/1999), pero que ya no se aplica con el Reglamento General de Protección de Datos (RGPD). Tanto es así, que la Agencia insiste en este aspecto aludiendo a varios informes:
“[…] ya en la 10ª sesión anual se expuso que con el RGPD no puede hablarse de un concepto legal de fuente de acceso público como la existente con la anterior LOPD. El artículo 14.1 f) del RGPD tan sólo menciona dicho concepto para establecer la obligación del responsable del tratamiento de facilitar al interesado la información de si sus datos personales proceden de fuentes de acceso público, pero sin definir estas”.
Informe 136/2018 – Agencia Española de Protección de Datos
Es necesario tener en cuenta que las publicaciones de datos personales a través de boletines oficiales asociados a una supuesta deuda responden a la finalidad de hacer efectiva la notificación de una resolución administrativa o judicial. Estos datos, por tanto, no podrían ser utilizados por terceros para otra finalidad tal y como detalla la Agencia Estatal Boletín Oficial del Estado atendiendo a las consultas realizadas por parte de varios afectados:
«De conformidad con lo anterior, esta Agencia Estatal considera que la reutilización de datos de tipo personal como nombres, apellidos, DNI asociados a deudas, publicados en el BOE, que vd. solicita, no sería un tratamiento lícito de datos de carácter personal de los previstos en el art. 6 de RGPD y, por lo tanto, de acuerdo con lo regulado tanto en el Reglamento (UE) 2016/679 como en el Ley orgánica 3/2018, de 5 de diciembre, no deben ser objeto de reutilización por terceros.»
Este principio establece que «los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados […] de manera incompatible con dichos fines.»
En este caso, el origen de los datos, como ya hemos visto, proviene principalmente de diarios y boletines oficiales. Datos que han sido publicados para una finalidad concreta (interés público) y amparada por una norma con rango de ley.
Sin embargo, la finalidad que EQUIFAX persigue es otra finalidad distinta al interés público: la evaluación de la solvencia de los afectados y a la prevención del fraude.
El artículo 5.1.a) del RGPD requiere que los datos personales sean tratados de manera lícita, leal y transparente.
Entenderemos que un tratamiento es lícito cuando «el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.»
El interés perseguido por el responsable deberá ser, por tanto, legítimo para ser lícito. Dentro de esa licitud, durante el procedimiento llevado a cabo por la Agencia, EQUIFAX alegaba que el interés jurídico perseguido a través de su registro era conocer las deudas y reclamaciones de las personas físicas para dar «seguridad al tráfico mercantil», «prevenir la morosidad» y «valorar la solvencia patrimonial» de esas personas. Intereses incompatibles con respecto a la finalidad a través de la cual los datos fueron comunicados.
El artículo 5.1.d) exige que los datos personales deben ser «exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.»
Ha quedado acreditado que la información recabada por EQUIFAX a través de su FIJ se ha mantenido a lo largo del tiempo sin actualizar durante un plazo máximo de seis años. Duración que la información se mantenía en el fichero desde que esta era publicada en algún diario o boletín oficial, salvo que el afectado hubiese ejercitado el derecho de supresión o rectificación.
Aparte de que la información pudiese no ser exacta porque no estaba actualizada o contrastada se le suma otro inconveniente: la identidad de los presuntos deudores. Las publicaciones de las que el fichero recaba la información no siempre permitían identificar de manera exacta al supuesto titular de la deuda. Frecuentemente estaban identificados no por el NIF, sino por nombre y dos apellidos combinados con un domicilio.
De esta manera, un asociado de EQUIFAX que quisiera realizar una comprobación de insolvencia a través de este fichero podía encontrarse con una o varias personas con el mismo nombre y apellido posibilitando una identificación errónea del supuesto deudor. Un motivo más que evidencia, en palabras de la Agencia, un incumplimiento del principio de exactitud que difícilmente podría responder al interés legítimo vinculado a «la prevención del fraude».
El RGPD establece en su artículo 5.1.c) que los datos personales serán «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos)».
En este sentido, la Agencia estima que al igual que sucede con el resto de principios ya tratados (el de licitud o el de exactitud), el de minimización está condicionado por la infracción del principio de limitación de la finalidad evidenciando su incumplimiento.
El artículo 14 del RGPD detalla la información que deberá facilitarse al titular cuando los datos personales no se hayan obtenido del interesado.
Una obligación que EQUIFAX no cumplió. En 2018 los datos que constaban en el fichero ascendían a más de cuatro millones. Sin embargo, el número de notificaciones realizadas ese año no alcanzaban a las trescientas cuarenta mil.
Queda acreditado que la compañía no notificó a los interesados el tratamiento de sus datos a través del fichero. Una necesidad que es consecuencia del principio de transparencia, el cual también se vería incumplido según la resolución emitida por la Agencia.
Atendiendo a lo anterior, la Agencia Española de Protección de Datos resolvió la resolución con una sanción de 1.000.000 € por la infracción del artículo 5.1.b), en concurso medial con las infracciones de los artículos 6.1, en relación con el artículo 5.1.a), 5.1.d), 5.1.c) y 14 del Reglamento General de Protección de Datos.
Atendiendo a un incumplimiento que ha perdurado en el tiempo a través del uso de un fichero incompatible con respecto a lo establecido en la normativa de protección de datos, la Agencia también ha exigido a EQUIFAX que proceda a la supresión de todos los datos personales tratados a través del mencionado Fichero de Reclamaciones Judiciales y organismos Públicos (FIJ) prohibiéndole continuar haciendo uso del mismo.
Sigue esta y otras noticias a través de nuestro canal de Telegram
La operadora recibe la mayor sanción impuesta por la Agencia Española de Protección de Datos
Este mes conocíamos la noticia. La Agencia Española de Protección de Datos (AEPD) impuso la multa más elevada hasta la fecha a Vodafone España con más de ocho millones de euros por haber vulnerado tres normativas: la Ley General de Telecomunicaciones (LGT), la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) y el Reglamento General de Protección de Datos (RGPD).
Tal y como detalla en su extensa resolución, la Agencia inicia el proceso de investigación en 2019 tras haber recibido cerca de 200 reclamaciones en cuestión de dos años (2018-2020) en donde se denunciaban las prácticas comerciales realizadas por la compañía a través de llamadas telefónicas y el envío de comunicaciones comerciales por vía electrónica (mensajes SMS y correos electrónicos).
Las denuncias evidenciaban que dichas comunicaciones se habían producido sin haber sido solicitadas o expresamente autorizadas por los afectados, sin haber atendido al derecho de oposición a recibir nuevas comunicaciones o sin haber tenido en cuenta a aquellas personas que se hubieran opuesto a cualquier comunicación a través de ficheros de exclusión publicitaria como las conocidas «Lista Robinson».
Con motivo de acreditar una posible vulneración regular y continuada de las distintas normativas supervisadas por la Agencia (LOPDGDD /RGPD, LSSICE y LGT), se inicia una investigación en donde se analiza el protocolo de tratamiento de datos de Vodafone con respecto a las acciones de mercadotecnia que llevan a cabo.
Para ello, las campañas fueron clasificadas en función de si eran gestionadas por la teleoperadora directamente o, en cambio, eran gestionadas por otras entidades por cuenta y en nombre de Vodafone.
Las bases de datos de las acciones comerciales son proporcionadas por Vodafone y las campañas las realizan el departamento interno de marketing o bien el departamento interno de televenta. Estas últimas a través de entidades contratadas por la operadora.
Serían aquellas que son realizadas por los denominados «Distribuidores / Colaboradores / Agentes». Este grupo haría uso de bases de datos proporcionadas directamente por la operadora o bien bases de datos propias.
En este grupo encontraríamos varios canales: Door to Door (agentes que realizan captación «a puerta fría»), online, córneres físicos en centros comerciales y establecimientos, y agentes exclusivos.
Estos «Distribuidores / Colaboradores / Agentes» pueden llegar, a su vez, a acuerdos con otras agencias de televenta y comerciales que operarían como lo que se denomina como subencargados del tratamiento por cuenta de Vodafone. Así, la operadora podría contratar a un distribuidor, que a su vez subcontrate a otras entidades para encomendarle ciertas tareas como, por ejemplo, la gestión de llamadas telefónicas a través de un call center.
Atendiendo a la investigación realizada, la Agencia identificó cinco grandes grupos: bases de datos alquiladas a terceros que dieron su consentimiento, registros generados a través del canal online (sitios web), generación de numeraciones aleatorias a partir de diferentes rangos, bases de datos propias de «Distribuidores / Colaboradores / Agentes» y bases de datos de Vodafone utilizadas por estos últimos.
Con estos datos, Vodafone realizó 200 millones de acciones comerciales entre mayo de 2018 y marzo de 2019.
Ahora bien, teniendo en cuenta los sujetos que intervenían en las campañas y las bases de datos gestionadas, ¿podríamos decir que se han gestionado de manera correcta? Claramente no. Y así lo determina la Agencia:
A raíz de ese patrón de conducta que detalla la AEPD, se sanciona a Vodafone con 8.150.000 euros por comisión de cuatro infracciones:
Como hemos visto, Vodafone hace uso de un gran número de empresas para gestionar sus campañas. Para ello, delega a otras entidades campañas para que actúen por cuenta y en nombre de la operadora.
Dado que es la compañía quien determina los fines y los medios del tratamiento, la Agencia estima que en estos casos Vodafone actúa como responsable mientras que las empresas a las que delega las campañas actuarían como encargados de tratamiento y, en caso de que estas subcontraten a otras empresas, operarían como subencargados.
Como responsable del tratamiento, en el momento que encomienda un encargo, la ley establece que tiene la obligación de seleccionar a encargados que ofrezcan garantías suficientes para garantizar la aplicación de la normativa y los derechos y libertades de los interesados. Una obligación que «no termina en el momento en que el responsable y el encargado del tratamiento celebran un contrato u otro acto legal. En su lugar, el responsable debe, a intervalos apropiados, verificar las garantías del encargado, incluso a través de auditorías e inspecciones cuando corresponda».
Una supervisión que a juicio de la Agencia no se ha realizado dado que la operadora desconocía las entidades subcontratadas, su cualificación técnica y organizativa, su capacidad para cumplir con la legislación, la identidad de las empresas a las que se daba acceso a sus bases de datos, si realizaban o no la comprobación preceptiva con las listas de exclusión publicitaria internas de la compañía y/o con el sistema general común de exclusión publicitaria (Lista Robinson), las bases de datos utilizadas y si estas estaban legitimadas, etc.
El hecho de no controlar y auditar a los encargados y subencargados que actuaban en nombre de la operadora ni establecer un mecanismo que ofreciese una base de datos centralizada donde contrastar aquellas personas que pudieran haber ejercitado su derecho de oposición derivó, entre otros, en la realización de llamadas comerciales continuadas a personas que ya se habían opuesto (a través de la Lista Robinson o directamente a Vodafone a través de sus distintos intervinientes).
La normativa establece que se realizarán transferencias de datos personales a terceros países siempre y cuando se cumplan una serie de garantías que aseguren el tratamiento de dichos datos. Para ello, sería necesario legalizar la transferencia de datos a través, por ejemplo, de la firma de cláusulas contractuales tipo.
Siguiendo con las figuras de «Distribuidores / Colaboradores / Agentes» decíamos anteriormente que la operadora contrataba empresas (encargados) que a su vez subcontrataban a otras entidades (subencargados). Es el caso A-Nexo, subencargado contratado por Casmar (encargado de Vodafone).
A-Nexo es una subcontrata de Casmar, que a su vez subcontrataba a otras personas o empresas para llevar a cabo materialmente las llamadas comerciales. Esta entidad en particular formaba parte de la lista de subencargados aprobados por Vodafone cuyo contrato especificaba que la ubicación del tratamiento se realizaba en Perú. Una transferencia internacional que aparentemente no fue identificada ni, por tanto, legalizada.
Continuando con la resolución, la Agencia estimó que el procedimiento de Vodafone para la realización de estas campañas comerciales no garantizaba el cumplimiento del derecho de oposición de los usuarios a no recibir llamadas comerciales ni en las campañas gestionadas directamente por la operadora ni en aquellas gestionadas por terceros.
La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico exige que para poder realizar cualquier comunicación publicitaria por correo electrónico u otro medio equivalente (SMS, fax, llamadas automáticas sin intervención humana, etc.) se debe contar con la autorización expresa de sus destinatarios o existir una relación contractual previa.
De las 162 reclamaciones que finalmente se tienen en cuenta en esta resolución, 24 de ellas hacen referencia al envío por parte de Vodafone de emails comerciales y SMS no autorizados. Los destinatarios no habían autorizado, por tanto, estos envíos ni tenían relación comercial con la compañía.
«Vodafone no tiene implantado para las acciones de mercadotecnia métodos ni medios organizativos y técnicos que verifiquen, ni siquiera por procedimientos estadísticos, la licitud de los datos objeto de tratamiento, su origen, su filtrado previo con los listados internos de exclusión publicitaria y general de exclusión Robinson, ni con los de las entidades a las que le ha encargado los tratamientos (encargadas del tratamiento) ni derechos de oposición ejercidos por los afectados ante una y otras».
– explica la AEPD en su resolución.
Se acredita un claro incumplimiento de las distintas normativas en materia de protección de datos agravado en gran medida por la reincidencia y el carácter continuado de las infracciones, la existencia de intencionalidad y la obtención de beneficios.
En definitiva, podríamos decir que la Agencia Española de Protección de Datos ha comenzado a endurecer las sanciones para aquellas organizaciones que tratan un mayor volumen de datos y en donde han podido evidenciar un incumplimiento relevante y, en ocasiones, reiterado de la normativa. Casos recientes como los de Caixabank y BBVA sancionadas con de 6 y 5 millones de euros respectivamente demuestran un notable incremento en la horquilla de las multas impuestas. Sin embargo, la Agencia, atendiendo a las alegaciones presentadas por Vodafone, ha querido aprovechar para recordar que el RGPD permite imponer sanciones con cuantías máximas de hasta 20 millones de euros o del equivalente al 4% del volumen de negocio total anual global de la compañía. Volumen que en el caso de la operadora ascendía a 1.600 millones de euros, los cuales permitirían a la Agencia, así, imponerle una multa que hubiese resultado más onerosa, ya que acabó derivando en la quinta parte (o décima parte en la infracción del art 44 del RGPD) sobre la cuantía máxima que hubiese podido ser aplicable.
Imagen de Kārlis Dambrāns en Flickr.
Sigue esta y otras noticias a través de nuestro canal de Telegram