Al efecto de realizar un compendio de las resoluciones más reseñables dictadas por la Agencia Española de Protección de Datos (AEPD), descatamos durante los primeros meses del año múltiples resoluciones interesantes en diferentes materias.

En primer lugar, destacan varias resoluciones dictadas por parte de la AEPD a consecuencia de no atender debidamente el ejercicio de derechos en materia de protección de datos.

• La primera de ellas se trata de una reclamación basada en un ejercicio de un derecho de supresión(https://www.aepd.es/es/documento/td-00247-2021.pdf):

Se interpone una reclamación por parte de un reclamante a GOOGLE LLC por no haber sido atendido debidamente su derecho de supresión o derecho al olvido de sus datos personales (artículo 17 del RGPD). La AEPD confirma que, en principio, Google le denegó dicha supresión al reclamante, pero, más tarde, a lo largo del procedimiento, se reparó la pretensión solicitada (suprimió la mitad de las URLs donde aparecían datos de carácter personal del reclamante y denegó motivadamente la otra mitad por considerar que en ellas no se contenían datos personales). Por tanto, GOOGLE cumplió con lo dispuesto en el artículo 17.2 del RGPD, que indica que «el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos».

Se concluye que el derecho del reclamante se atendió de forma extemporánea en este supuesto.

En esta resolución la AEPD mantiene y, de esta forma, delimita su ámbito de aplicación, considerando que si la pretensión del reclamante era la tutela de su derecho al honor y a la propia imagen, el cauce adecuado no se encuentra en la normativa de protección de datos de carácter personal, sino, en su caso, en la Ley Orgánica 1/1982, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

• La segunda reclamación se ciñe al ejercicio de un derecho de acceso y supresión  (https://www.aepd.es/es/documento/td-00208-2021.pdf):

Se interpone una reclamación contra BANCO BILBAO VIZCAYA ARGENTARIA S.A.  por no haber atendido debidamente el derecho de acceso y supresión (artículo 15 y artículo 17 del RGPD respectivamente) del reclamante en los ficheros de solvencia patrimonial y crédito de la entidad mencionada, produciéndose, según el mismo reclamante, una intromisión ilegítima en su derecho al honor e intimidad personal (reconocido en el artículo 18.1 de la Constitución Española).

Se inició el mecanismo previo a la admisión a trámite previsto en el artículo 65.4 de la LOPDGDD dando traslado a los Delegados de Protección de Datos designados por los responsables o encargados del tratamiento, a los efectos previstos en el artículo 37 del RGPD, o a éstos cuando no los hubieren designado,  de la reclamación para que procediese a su análisis y se diera una respuesta a la parte reclamante y a la AEPD en el plazo de un mes, sin recibir respuesta.

La AEPD destaca que «el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes».

Finalmente la solicitud de la parte reclamante obtuvo la respuesta legalmente exigible pues «la reclamada atendió el derecho en tiempo y forma, aportando la documentación solicitada, facilitando los datos objeto del tratamiento e informando que mientras persista la deuda contraída, mantendrán los datos en dichos ficheros».

De nuevo, la AEPD se vuelve a pronunciar en la misma línea que la anterior resolución mencionada en relación con el derecho al honor y establece que “sólo puede entrar a valorar estrictamente lo referido a la observancia de los principios que fija la normativa en protección de datos, por lo que, por ello, el cauce adecuado para la tutela del derecho al honor se encuentra en la Ley Orgánica 1/1982”.

En resumen, en estos dos casos, se da satisfacción a los derechos de forma extemporánea.

• Apreciamos en otra reclamación un tercer ejercicio de derechos que ha desembocado en un procedimiento sancionador por no haber atendido debidamente el derecho de oposición (https://www.aepd.es/es/documento/reposicion-ps-00255-2021.pdf):

La AEPD sancionó a TELEFÓNICA ESPAÑA con una multa de 15.000 euros por no haber atendido el derecho de oposición del reclamante para recibir comunicaciones comerciales y publicitarias, infringiendo el artículo 21.1 de la LSSI («Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas»). Por tanto, se prohíbe de forma expresa las comunicaciones comerciales dirigidas sin consentimiento expreso del destinatario.

El reclamante se dio de baja de las mismas a través del enlace que se incluye en las propias comunicaciones sin éxito.

La AEPD acude para fijar la sanción a la circunstancia agravante de “existencia de intencionalidad” o dolo (acción u omisión voluntaria maliciosa); y a la circunstancia atenuante de “la naturaleza y cuantía de los perjuicios ocasionados”previstas en el artículo 40 de la LSSI.

Tras el correspondiente procedimiento sancionador, Telefónica interpone recurso de reposición ante la AEPD reiterándose en sus alegaciones y no aportando hechos nuevos. Posteriormente se publica la resolución de la AEPD desestimando dicho recurso.

La AEPD ha publicado también resoluciones sancionadoras por cesión de datos personales sin el consentimiento expreso previo del titular de los datos:

Primera. Se impone en esta resolcuión de la AEPD una multa de 15.000 euros a causa de una acción negligente de la entidad reclamada (Garlex Solutions) al cederse los datos personales del reclamante sin el consentimiento previo del titular de dichos datos para realizar un precontrato con una empresa colaboradora vía SMS (https://www.aepd.es/es/documento/ps-00375-2021.pdf.)

Segunda. El 21 de enero la AEPD dicta una resolución sancionando con apercibimiento a CONSORCIO PARA LA CONSTRUCCIÓN, EQUIPAMIENTO Y EXPLOTACIÓN DE LA SEDE ESPAÑOLA DE LA FUENTE EUROPEA DE NEUTRONES POR ESPALACIÓN  por una infracción del artículo 35 del RGPD (no se realizó Evaluación de Impacto) tras la implantación de un sistema de control de fichaje horario por reconocimiento biométrico de huella. (https://www.aepd.es/es/documento/ps-00052-2021.pdf)

Por parte de “Consorcio…” se repartió un documento a los empleados donde se requería el consentimiento para el tratamiento de los datos biométricos. La AEPD, en esta resolución, reitera que no considera preciso ni necesario el consentimiento en la implantación de la huella dactilar como sistema de fichaje, sino que para proceder a dicho tratamiento debería basarse en una base legitimadora distinta relacionada con el cumplimiento de obligaciones legales.

La AEPD también sostiene que el responsable debería de valorar si hay otro sistema menos intrusivo con el que se obtenga idéntica finalidad.Asimismo, alega que para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario que cumpla el juicio de necesidad, el juicio de idoneidad y el juicio de proporcionalidad en sentido estricto.

Comparte esta entrada: Twitter Facebook Google+ LinkedIn