Resoluciones Relevantes Abril 2025
Procedimiento: PS-00478- 2023.pdf
Multa de 1.000 euros por recabar información por correo electrónico y no facilitar información del tratamiento
• Arts Afectados: Art. 13 RGPD (Información al interesado)• Resolución: 1.000 euros
01650ABR2025 - Información al interesado – Correo electrónico -
La reclamante envía un correo electrónico a la entidad PROSULTING SLNE por recomendación de un compañero suyo del trabajo, delegado sindical, de quien ha recibido la dirección de correo electrónico, así como la información. El objetivo era obtener una beca de formación para el curso de Director de Seguridad, así como para el curso de hacking informático. Encarga a PROSULTING, la gestión de la subvención y solicita una plaza para los cursos indicados, adjuntándole formulario firmado para la Convocatoria, copia del DNI y encabezamiento de la nómina. Posteriormente hay una serie de mensajes en que PROSULTING informa reiteradamente a la reclamante de plazos, requisitos y documentos necesarios para acceder al curso subvencionado por el SEPE, instando a la reclamante a tener preparada la documentación para el momento oportuno. Con posterioridad, por parte de PROSULTING, y ante la imposibilidad inicial de ofrecer el curso gratuito que subvenciona el SEPE al 100%, ofrece su curso propio con un descuento del 40% sobre el precio oficial, para aquellos participantes que no reúnen los requisitos del reglamento. Posteriormente PROSULTING vuelve a solicitar a la reclamante justamente la misma documentación ya remitida. En ninguna de las comunicaciones dirigidas a la reclamante, se informaba sobre los extremos que exige el art 13 RGPD. PROSULTING, en su condición de entidad educativa, recaba datos personales a través de los formularios de contacto y de suscripción disponibles en la página web, así como a través de correos electrónicos. Sin perjuicio de que PROSULTING informe también en sus correos a la parte reclamante de las subvenciones y cursos del SEPE, el contenido principal de la información remitida es la promoción de sus cursos propios.
Si bien la reclamante remite, a iniciativa propia, una solicitud firmada con la documentación identificativa necesaria a PROSULTING, para que tramite en su nombre una subvención del SEPE y para la participación en el curso de formación de Director de Seguridad, PROSULTING facilita, por su parte, a la reclamante información de modo reiterado sobre el estado el procedimiento de concesión de la subvención del SEPE, en varios correos posteriores entre febrero y junio de 2023, pero el objeto principal de las comunicaciones remitidas sigue siendo promocionar sus propios cursos. La reclamante manifiesta que “en ningún momento he sido informada de quién se hace responsable de los datos, a quién puedo dirigirme y sobre cuáles son los datos identificativos de la empresa”, indicando que “Solo dispongo de un enlace web de una empresa sin actividad en la web desde 2022”. Revisado el contenido del enlace, se pudo comprobar que la web no estaba operativa. Tras varias diligencias de investigación por la AEPD se obtienen extractos de la política de privacidad del sitio web, y se observa que en la información facilitada no aparece referencia alguna ni a la página web, ni información en los correos electrónicos aportados, que permita a la reclamante consultar y asegurarse del cumplimiento del RGPD, y, en particular, de la totalidad de la información prevista por su artículo 13, cuando se recaban datos del interesado. En todo caso, entiende la AEPD que no es admisible que el interesado tenga que realizar ninguna búsqueda, como la realizada por la Agencia, para acceder a la política de privacidad de PROSULTING.
Procedimiento: PS-00188- 2024.pdf
La AEPD sanciona a un concesionario por no disponer de cláusula informativa en el contrato
• Arts Afectados: Art. 13 RGPD (Información al interesado)• Resolución: 5.000 euros
01651ABR2025 - Información al interesado – Concesionarios -
La reclamante manifiesta que en fecha 20 de abril de 2023 celebró un contrato de compraventa de un vehículo que adquirió a PALANCAMAR, aportando para ello sus datos personales y sin que se le informara sobre el tratamiento de sus datos. Junto a la notificación se aporta documentación relativa al contrato de compraventa y copia de factura por adquisición del vehículo, en concreto un modelo de contrato de arras, impreso que ha sido cumplimentado de forma manuscrita incorporando en el documento los datos de la reclamante, en concreto, nombre, apellidos, NIF, domicilio, así como el modelo del vehículo, y su número de matrícula. También se aporta el contrato de compraventa del vehículo, para lo cual se utilizó un contrato tipo adquirido en un estanco, por el importe de tres euros, donde se indican, nuevamente los datos de la reclamante y del vehículo objeto de compraventa.
En el presente caso, no consta ni en el contrato de compraventa, ni en la factura facilitada a la reclamante tras la adquisición del vehículo, ni en el contrato de arras figura la información que el artículo 13 del RGPD exige al responsable del tratamiento en el momento de obtención de los datos personales, como identidad y datos del responsable, el plazo durante el cual conservarán los datos personales, o el derecho a presentar una reclamación ante la autoridad de control.
Habida cuenta que en el presente caso no se han formulado alegaciones al acuerdo de inicio del procedimiento sancionador, y conteniendo el mismo los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida y la sanción que podría imponerse, el mismo es considerado propuesta de resolución
Procedimiento: PS-00579- 2023.pdf
70.000 euros al BBVA por la divulgación de datos de un exempleado
• Arts Afectados: Art. 32 RGPD (Medidas de seguridad)• Resolución: 70.000 euros
01653ABR2025 - Medidas de seguridad – Entidades Bancarias -
Por parte del reclamante A.A.A., manifiesta que un empleado de BBVA facilitó a varias personas, a través de un mensaje de correo electrónico, información bancaria relativa a su persona sin su consentimiento. Dicho empleado no estaba autorizado a acceder a dicha información, ya que el reclamante A.A.A. presentó un poder notarial indicando que solo sus tres apoderados podían tener acceso a su cuenta. Añade que dicho empleado extrajo la citada información de la entidad bancaria, en soporte físico y, posteriormente escaneó los documentos relativos a su persona para proceder a su envío a terceros. Pocos días después, otro reclamante denuncia ante la AEPD idénticos hechos, manifestando que un empleado de BBVA facilitó a ocho personas, a través de un mensaje de correo electrónico, información bancaria relativa a B.B.B. sin su consentimiento. Añade que dicho empleado no estaba autorizado a acceder a dicha información y que extrajo la misma de la entidad bancaria, en soporte físico y, posteriormente escaneó los documentos relativos a su persona para proceder a su envío a terceros.
La dirección de correo electrónico utilizada para el envío de tales correos electrónicos no corresponde a ningún dominio del Grupo BBVA, es una dirección personal. Tras las actuaciones de investigación por parte de BBVA, determinan que el responsable es C.C.C., antiguo empleado de la entidad,que con anterioridad a los hechos ocurridos cursó baja voluntaria incentivada con motivo de su adscripción al ERE.
La AEPD entiende acreditado el acceso a información financiera de A.A.A. por C.C.C. sin que estuviera autorizado y sin que fuera ello necesario en atención a sus funciones. El hecho de que utilizara para ello una dirección ajena a BBVA es completamente irrelevante a los fines del presente procedimiento sancionador. Ni tampoco el hecho de que al enviar el correo electrónico con información financiera de A.A.A. ya no fuera empleado de BBVA, si bien lo era al momento en que se obtuvo tal información que fue enviada posteriormente por correo electrónico. el problema radica en que por parte de C.C.C se pudiera acceder a los datos financieros de A.A.A. sin que éste estuviera autorizado, permitiéndole obtener copia de la información y usarla para sus propios intereses.
En el presente caso, BBVA no contaba con las medidas de seguridad de índole técnico y organizativo suficientes para evitar que se produjera una violación de seguridad de los datos personales de clientes, datos de los que el banco es titular. Si bien el banco contaba con medidas para lograr la trazabilidad de quien había accedido a los datos personales de sus clientes, no consta en el presente procedimiento que se realizaran auditorías o revisiones posteriores por, por ejemplo, una denuncia, ni que se hubiera implementado medidas técnicas y organizativas apropiadas para que cada empleado pudiera acceder solamente a los datos personales de aquellos clientes que tuviera asignado en un momento determinado e impedir que cualquier empleado pudiera acceder a los datos personales de cualquier cliente. No hay medidas preventivas previas en el presente caso. No se atiende al enfoque de riesgos del RGPD ni a su carácter preventivo
Si bien es cierto que BBVA disponía de algunas medidas dirigidas a los empleados en relación con la protección de datos personales, como proporcionar información y formación; resulta evidente que son insuficientes para evitar un incidente similar a la cuestión que dio origen al presente procedimiento. Además, tampoco es suficiente con que BBVA, como responsable del tratamiento, implante medidas de seguridad, sino que también, debe asegurar su cumplimiento.
Procedimiento: PS-00505- 2024.pdf
200.000 euros a SERVISA por divulgar los datos de una denuncia interna por acoso laboral
• Arts Afectados: Art. 5.1.f RGPD (Confidencialidad)• Resolución: 200.000 euros (120.000 euros por pago voluntario y reconocimiento de responsabilidad)
01657ABR2025 - Confidencialidad – Laboral -
La reclamante indica que la empresa SERVICIOS ESPECIALES S.A. (SERVISA) ha publicado que ella es denunciante en un proceso de acoso laboral, y la empresa ha divulgando su nombre y apellidos y junto a la palabra “denunciante”. En el presente caso, los hechos traen causa del traslado a los miembros de la Comisión Instructora en procesos de acoso, del escrito de denuncia de acoso, con el fin de proceder a realizar las actuaciones que se considerasen procedentes, resultantes del “Protocolo para la prevención y actuación frente al acoso psicológico y el acoso discriminatorio en la empresa”. En la denuncia se identificaban a los responsables de supuestas conductas que podían estar incluidas dentro de las que deban ser consideradas como susceptibles de acoso en los términos establecidos en el citado protocolo, motivo por el cual, por parte de la Comisión Instructora se han llevado a cabo las averiguaciones correspondientes para esclarecer la denuncia. Iniciado el procedimiento y tras las investigaciones llevadas a cabo, la Comisión Instructora emite informe concluyendo que no cabía calificar la denuncia presentada como propia de un acoso laboral. En el citado informe se contienen los datos identificativos de los 5 denunciantes y 10 denunciados de tal modo que, tanto los denunciantes como los denunciados, han tenido acceso a la identidad de cada uno de ellos. La reclamante señala que todo el centro de trabajo sabe que es una de las denunciantes y conoce a los denunciados, extremo que originó que uno de los denunciados pusiera en un grupo de WhatsApp de trabajo, el mismo día del conocimiento de la resolución, un emoji de un beso y la frase: “Gracias por la denuncia”. La reclamante indica que ese mismo día sufrió un ataque de ansiedad, deviniendo en baja médica.
SERVISA indica que desde la perspectiva de la protección de datos, se concluye que no es posible apreciar una infracción de la legislación en esta materia y ello por la razón de que todos los interesados estaban perfectamente al tanto de todas las identidades de los afectados desde un principio. Asimismo, señala que la denuncia que dio inicio al procedimiento seguido internamente fue planteada por el comité de empresa sin invocar el derecho al anonimato de los denunciantes, ni tampoco estos lo solicitaron. No obstante, SERVISA con posterioridad ha adoptado medidas preventivas y reparadoras: entre las primeras un programa de información y un seminario específico para los miembros que deban integrar las diversas comisiones sobre alcance de los derechos de los interesados, incluida la materia de protección de datos personales y entre las segundas, se ha aprobado un texto de disculpa que se envía a los afectados en el que se da explicación de lo ocurrido y se ratifica la política interna de máxima confidencialidad
Por tanto, se desprende tras la tramitación del procedimiento por acoso laboral en la empresa, SERVISA remite la resolución del procedimiento de tal modo, que todos los denunciantes y denunciados han tenido acceso a la identidad de cada uno de ellos, desprotegiendo su identidad, la confidencialidad de sus datos, lo que se considera una infracción del artículo 5.1.f RGPD, considerando además como agravante el grado de negligencia, atendida la naturaleza de los datos personales revelados (condición de denunciante o denunciado en un proceso de acoso laboral) y las especiales exigencias de confidencialidad que deben de respetarse en procesos de acoso laboral.
Procedimiento: PS-00081- 2024.pdf
La AEPD sanciona con 1.000 euros la falta de atención de una petición de acceso a datos
• Arts Afectados: Art. 15 RGPD (Derecho de acceso)• Resolución: 1.000 euros
01658ABR2025 - Derecho de acceso – Eventos -
La reclamante solicitó derecho de acceso a sus datos personales, sin que tal solicitud hubiera sido debidamente atendida por parte de MY PERFECT WEDDING (MAKING SOLUTIONS, S.L.). el 10 de mayo de 2022, insistiendo el 12 de mayo de 2022 que no había recibido respuesta. El 15 de junio de 2022 la autoridad irlandesa de protección de datos envió un correo electrónico a MY PERFECT WEDDING que no obtuvo respuesta, por lo que se solicitó la asistencia de la AEPD como autoridad de control principal competente, al tener dicha empresa su establecimiento único en España. Notificado acuerdo de inicio conforme a las normas establecidas LPACAP y transcurrido el plazo otorgado para la formulación de alegaciones, no se ha remitido alegaciones.
En este caso, la AEPD analiza la posible prescripción de la infracción, indicando que la LOPDGDD contempla como infracción leve (art. 74.c LOPDGDD) la falta de atención de las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 RGPD, las cuales prescriben al año. Por tanto, al haber transcurrido más de un año desde que MY PERFECT WEDDING debió dar alguna respuesta a la reclamante, la posible infracción del artículo 12 del RGPD estaría prescrita. Sin embargo, entiende la AEPD que no constando acreditado que tal solicitud de acceso a los datos personales de la reclamante hubiera sido atendida, la infracción aplicable es la prevista en el art. 74.k, el impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 RGPD; infracción que no estaría prescrita al ser considerada muy grave, cuyo plazo de prescripción es de 3 años
Anotaciones: De la resolución da la sensación que la AEPD ha tratado de salvar la sanción cambiando el tipo de infracción. La infracción leve se produce por la falta de atención de ejercicio de derechos (como ocurre en este caso); mientras que la infracción muy grave se produce por el impedimento, obstaculización o no atención reiterada. En ningún momento se requiere para que la sanción sea leve que se haya atendido de forma tardía o extemporánea, como parece intentar justificar la AEPD para modificar el criterio. La diferencia fundamental entre ambas sanciones parece radicar en la intencionalidad del Responsable: la infracción muy grave requiere una actuación activa (impedir u obstaculizar) o a mútliples omisiones de sus obligaciones (falta de atención reiterada); mientras que la infracción leve parece ir destinada a supuestos más puntuales, como el caso concreto
Procedimiento: PS-00287- 2024.pdf
La AEPD sanciona a una empresa de grúas por fotografiar el DNI del interesado y no tener cartelería de videovigilancia
• Arts Afectados: Art. 5.1.c) RGPD (Minimización de datos); Art. 13 RGPD (Información al interesado); Art. 32 RGPD (Medidas de seguridad)• Resolución: 11.000 euros (3.000 euros (Art. 5.1.c RGPD); 3.000 euros (Art. 13 RGPD); 3.000 euros (Art. 13 RGPD); 2.000 euros (Art. 32 RGPD); 6.600 euros por pago voluntario y reconocimiento de responsabilidad)
01661ABR2025 - Minimización, información y medidas de seguridad – Recogida de datos y Videovigilancia -
El reclamante manifiesta que, para recoger un vehículo en las instalaciones de GRUAS IGNACI le solicitaron aportar su documento de identidad, siendo fotografiado el mismo por la persona que le atendió en dicho establecimiento con su móvil personal, sin ser informado sobre el tratamiento de sus datos, y supeditando la entrega del vehículo a dicha actuación, lo que entiende contraviene la normativa de protección de datos. Adjunta a su reclamación copia del documento de expedido por Grúas Ignaci, en el cual se recoge “Grúas Ignaci hace fotocopia del dni de D. A.A.A., para demostrar que recoge (…) como autorizado del vehículo (...)”, así como el sello de GRUAS IGNACI y una firma. Señala asimismo que las instalaciones cuentan con un sistema de videovigilancia que carece de carteles de zona videovigilada. A pesar de haber sido notificado el acuerdo de inicio, no se recibieron alegaciones
En el presente caso, se analizan múltiples incumplimientos:
- Minimización de datos: GRUAS IGNACI realizó una fotografía del anverso del DNI del reclamante con el objetivo de demostrar que el reclamante recoge el vehículo. El hecho de que se realizara una fotografía al DNI del reclamante, podría suponer un tratamiento excesivo de los datos personales, contrario al principio de “minimización de datos”, al considerar que la situación existente en ese momento posibilitaba la realización de una recogida de datos menos invasiva, siendo suficiente con su mera exhibición y, en su caso, anotación.
- Seguridad del tratamiento: De la documentación se desprende que la fotografía del anverso del DNI del reclamante se habría realizado con el móvil personal de uno de los trabajadores de GRUAS IGNACI. Dicho hecho manifiesta la falta de medidas de seguridad adecuadas para evitar la captación de la imagen del DNI de un usuario por parte de un empleado de dicha entidad. La toma de los datos de un cliente que resulte necesario para la actividad exige que dicho tratamiento deba realizarse con métodos técnicos y organizativos que garanticen la seguridad y confidencialidad de los datos
- Información al interesado: No consta que GRUAS IGNACI haya facilitado a la parte reclamante información alguna acerca del tratamiento de sus datos personales a la que obliga el artículo 13 del RGPD, en el momento en el que se recabaron sus datos personales para la recogida del vehículo. Esta ausencia de información puede producir en el interesado una pérdida de control obre sus datos y causar, entre otras consecuencias, una limitación en varios de los derechos de la parte reclamante como los relativos al acceso, rectificación o supresión de sus datos personales al no poseer la información necesaria para poder ejercitarlos (como la identidad y los datos del responsable)
- Cartelería: Por último, consta que GRUAS IGNACI tendría instaladas cámaras de videovigilancia en el establecimiento careciendo la falta de cartel informativo de zona videovigilada que exige el artículo 13 del RGPD. Esta información debe suministrarse por adelantado -considerando 39 del RGPD-. El objetivo es que quede claro el contexto de la vigilancia.
Procedimiento: PS-00381- 2024.pdf
Continúan las sanciones por envío de correos electrónicos sin hacer uso de CCO
• Arts Afectados: Art. 5.1.f. RGPD (Confidencialidad)• Resolución: 300 euros
01662ABR2025 - Confidencialidad – Correo electrónico -
Por parte del reclamante se pone en conocimiento de la AEPD la recepción de una comunicación comercial, de fecha 23 de enero de 2024, remitida por correo electrónico a una pluralidad de destinatarios (entre ellos el reclamante) sin haber hecho uso de la funcionalidad de copia oculta (CCO), por lo que la dirección de los destinatarios resulta visible para todos ellos. Junto a la reclamación aporta pantallazo del correo electrónico enviado desde la dirección ***EMAIL.1 a un total de 50 destinatarios. Por parte de la Agencia, tras realizar las actuaciones de investigación, se comprueba que B.B.B. consta como titular de la página web y del correo electrónico desde el que se remite la comunicación. Una vez notificado el acuerdo de inicio conforme a las normas del procedimiento administrativo, y no habiendo recibido alegaciones algunas al acuerdo de inicio del expediente, al haberse determinado los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida a la reclamada y la sanción que podría imponerse, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.
Procedimiento: SAP_SE_128-2025.pdf
La Audiencia Provincial de Sevilla condena a un médico por el acceso injustificado a la historia clínica de un compañero
• Arts Afectados: Art. 198 CP (Delito de descubrimiento y revelación de secretos); Art. 197.2 CP (Acceso a datos sensibles); Art. 9 LOPDGDD (Datos sensibles)• Resolución: Un años y 6 meses de prisión + Multa de doce meses + 3 años y 3 meses de Inhabilitación especial + 15.000 euros por daños morales
01665ABR2025 - Confidencialidad – Judicial -
El acusado Remigio, de profesión médico, mantenía con su ex socio Pablo Jesús (el denunciante) un conflicto personal y económico con motivo de un Centro de Rehabilitación que tenían en común. La gestión del negocio motivó discrepancias entre ambos, originando una enemistad entre ambos que motivaría la presentación de múltiples denuncias entre ellos. Remigio, con motivo de hacerse con datos del historial médico de su exsocio que pudieran ser de su interés por el conflicto que mantenía con él, utilizó tanto sus claves como médico de urgencia como las claves que poseía su esposa, enfermera gestora, para acceder a DIRAYA, consciente de que ello vulneraba su intimidad y a sabiendas de que no lo podía hacer al carecer de su autorización y no asistirle médicamente. Su esposa, ajena a los hechos, tuvo conocimiento a raíz de la apertura de un procedimiento disciplinario seguido contra ella, momento en el que el acusado le confesó que fue él quien accedió con sus claves. Inicialmente, y siendo convencida por su marido y los asesores legales que tenía en ese momento, con el fin de proteger a su marido y evitar que ingresara en prisión, admitió los hechos; si bien, con posterioridad al asesorarse con un nuevo Letrado ha negado toda participación en los hechos.
Durante el juicio se discutió si había podido tener acceso a toda su historia clínica, indicando que no se había ocasionado perjuicio alguno. Si bien el acusado había llegado a utilizar con terceros el término loco o perfil esquizoide respecto del denunciante, se considera que es una opinión que pudiera tener pero ello no significa que esos datos los hubiera obtenido de la historia clínica, lo que no se ha llegado a acreditar. En este sentido, recuerda la Audiencia que es irrelevante para la comisión del delito de descubrimiento y revelación de secretos la necesidad de difusión de los datos descubiertos sin autorización. Así pues, el que no conste ningún dato de la historia clínica descubierta por parte del acusado no elimina la comisión del delito que se produce cuando sin autorización del denunciante se accede los datos personales de su historia clínica, o no conste la necesidad de su acceso por alguna asistencia médica por el profesional que lo hace, cosa que no consta. Tampoco se trata de un supuesto en el que el profesional que accede a los datos sin autorización ya los conocía de forma autorizada con anterioridad.
Si bien la jurisprudencia consolidada interpreta que se exige también para considerar típica la conducta del simple acceso que esta cause un perjuicio al titular de los datos, o a un tercero, cuando se trata de datos sensibles, el perjuicio consiste en su mero conocimiento derivado del simple acceso, de modo que se actúa “en perjuicio” cuando se accede a los datos que merezcan la calificación de sensibles, sin que sea necesario un perjuicio añadido a su mero conocimiento. En el presente caso, la existencia del perjuicio se concreta en el acceso al historia de salud del denunciante en más de una veintena de veces, conociendo que esos datos no deben ser vistos por el acusado quien carece de justificación para su accesos, al no estar autorizado por el titular de los datos, ni los precisaba para prestarle una asistencia médica, y sólo accede, durante un periodo de tiempo que coincide con todos los problemas judiciales que con motivo de su gestión en Fisiovilla le acarreó con su exsocio
Procedimiento: PS-00086- 2024
La AEPD archiva un procedimiento ante un bazar por acreditar el cumplimiento de la normativa
• Arts Afectados: Art. 13 RGPD (Derecho de información)• Resolución: Archivo de actuaciones
02101ABR2025 - Cartelería – Videovigilancia -
Por parte de la Dirección General de la Guardia Civil - Puesto de Tárrega, se remite oficio en el que pone de manifiesto que tras la inspección realizada en el BAZAR TAOURIRT; se observa una instalación de videovigilancia y la presencia de un solo cartel, que no cumpliría las exigencias normativas de información. No obstante, no se adjunta reportaje fotográfico.
Por parte de BAZAR TAOURIRT se presenta escrito en el que aducía alegaciones, manifestando que “en el interior de nuestro almacén sí existen carteles informativos de la presencia de cámaras”, aportando fotografías del cartel informativo de zona videovigilada ubicada en uno de los laterales de la entrada al almacén. El cartel de Zona Videovigilada contiene los datos del Responsable, un teléfono para ejercitar los derechos, y un e-mail donde pueden solicitar más información sobre el tratamiento de datos.
Si bien los documentos formalizados por los funcionarios a los que se reconoce la condición de autoridad y en los que, observándose los requisitos legales correspondientes se recojan los hechos constatados por aquéllos harán prueba de éstos salvo que se acredite lo contrario, como lo sucedido en el presente supuesto. Es por ello, que de conformidad con las alegaciones y pruebas aportadas por BAZAR TAOURIRT, en particular fotografías del cartel informativo de zona videovigilada, resulta evidente que existe un distintivo en la puerta de acceso al local/almacén del BAZAR TAOURIRT que dispone de la información legalmente exigida por la normativa de protección de datos de carácter personal para entender cumplido el deber de información y, por consiguiente, que no se incurre en una infracción del RGPD. También, del reportaje fotográfico aportado por BAZAR TAOURIRT, se infiere que el distintivo se encuentra colocado a una altura que permite su pronta localización. Dicha alegación fue tenida en cuenta por la instructora del procedimiento, dictando propuesta de resolución.
Procedimiento: PS-00127- 2024
Multa de 500.000 euros a un encargado de tratamiento por subcontratar servicios sin autorización del Responsable
• Arts Afectados: Art. 28 RGPD (Encargado de tratamiento)• Resolución: 500.000 euros
02103ABR2025 - Encargo de tratamiento – Sanidad -
Con motivo de una inspección de Sanidad por parte de la Consejería de Sanidad de Valencia en enero de 2023, se informa del uso de un software concreto por parte de MARINA SALUD. En este contexto se le requirió la presentación de los contratos de licencia/asistencia y/o prestación de servicios suscritos con las empresas propietarias de las aplicaciones de los sistemas de información sanitaria utilizados en el Hospital de Denia, negándose a hacer la entrega de la documentación requerida, (copia de los contratos suscritos por MARINA SALU SA con los proveedores), indicando que no corresponde a las funciones de la Inspección Sanitaria solicitar copia de los contratos. Consta que en fecha 07/02/2005 se adjudicó a MARINA SALUD el contrato de gestión de servicio público para la prestación de la atención sanitaria integral del Área 12, Departamento de Salud de Denia. En 2009 actualizó el convenio formalizado entre ambas partes, recogiéndose en su cláusula Octava, en la que regula la subcontratación “El responsable apodera al encargado para que subcontrate, en nombre y por cuenta del responsable, el tratamiento de los datos necesarios para la prestación de los servicios objeto de la concesión. A estos efectos, el encargado informará al responsable de la identidad de las sociedades de las cuales pretende el subcontratar los servicios objeto de esta subcontratación.". Tras la entrada en vigor del RGPD, MARINA SALUD formalizó distintos contratos, los cuales no fueron comunicados a la Consejería. MARINA SALUD niega que se haya vulnerado la normativa de protección de datos, manifestando que las subcontrataciones mencionadas se llevaron a cabo en virtud del apoderamiento general otorgado por la Consejería conforme a lo señalado en la cláusula octava del Convenio de tratamiento de datos personales en cumplimiento del artículo 12 de la LOPD aportado en el que se apodera al encargado para la subcontratación.
Por su parte, la AEPD señala que MARINA SALUD recurrió a otros subencargados en base a una autorización general, recogida en el Convenio firmado entre las partes en 2009, por lo que sería de obligado cumplimiento lo dispuesto en el apartado segundo del artículo 28, que se refiere, precisamente, a los casos en que exista una autorización general del responsable del tratamiento, como es el caso que nos ocupa, comunicación de obligado cumplimiento desde el 25 de mayo de 2018, fecha anterior tanto a la inspección realizada por la Consejería. Y en el presente caso, no consta que MARINA SALUD, como encargada del tratamiento, hubiera informado a la Consejería, como Responsable del tratamiento, de los contratos de tratamiento suscritos con posterioridad a dicha fecha con los otros subencargados, y, teniendo en cuenta que los contratos celebrados suponen incorporaciones de otros subencargados, por lo que entrarían en la categoría de los cambios previstos en el artículo 28.2 y deberían haberse informado con anterioridad a su formalización para que el responsable hubiera tenido la oportunidad de oponerse a dichos cambios. Pero incluso antes de la entrada en vigor del RGPD, la obligación de informar al responsable de la identidad de las sociedades con las que se pretendía subcontratar, ya existía en el Convenio de tratamiento de datos personales firmado en 2009, que en su clausula Octava, en la que regula la subcontratación.
Dicho incumplimiento surgió cuando se fueron celebrando los contratos ya que, en virtud del principio de responsabilidad proactiva, el responsable de dichas contrataciones debe estar en condiciones de acreditar que cumplió la obligación, y no lo ha hecho. Esta infracción por parte de l encargado tiene la consideración de infracción permanente, pues se crea un estado antijurídico cuya cesación depende de la voluntad de su autor. Por lo tanto, mientras se continúe utilizando a un subencargado persiste la obligación de informar, ya que la obligación se impone para que el responsable esté informado, y debe estarlo mientras actúe un subencargado,
Procedimiento: PS-00407- 2023
3.000 euros por no poder acreditar el consentimiento del usuario para enviarle publicidad
• Arts Afectados: Art. 21 LSSI• Resolución: 3.000 euros
02104ABR2025 - Consentimiento – Comunicaciones comerciales -
El reclamante A.A.A., se registró en la web allzone.es el día 01/02/2023, para la realización de un pedido, realizando una contratación online de un ordenador portátil el día 22/02/2023, a través de la web de ALLZONE, en la que aceptó todas las condiciones generales de compra, y política de privacidad. Ambas partes reconocen que el reclamante solicita en una primera ocasión la baja en la suscripción a boletín de noticias y ofertas asociadas el día 20/03/2023. Pero el día 23/03/2023 vuelve a recibir una comunicación electrónica referida a la participación de un sorteo remitida por ALL IN ZONE. Tal y como reconocen las partes reclamante y reclamada, el mismo día 23/03/2023, el reclamante vuelve a solicitar la baja, clicando la opción de “cancelar suscripción” que aparece el email de oferta recibido dicho día 23/03/23, como opción gratuita puesta a disposición del cliente para que cancele su suscripción a boletín y ofertas asociadas en el momento que lo desee.
En el presente caso, la AEPD entiende que no resulta aplicable la excepción prevista en el art. 21 LSSI, por cuanto el reclamante contrató un ordenador portátil a través de la web de la reclamada y recibió comunicaciones comerciales para participar en sorteos de productos similares a los que fueron objeto de la contratación (informáticos), pero también recibió correos electrónicos para participar en viajes, que no pueden considerarse productos similares, por lo que no cabe la aplicación de esta excepción respecto de los mismos.
Pero en este caso se refiere a comunicaciones comerciales recibidas a partir de la fecha de baja u oposición al servicio, por lo que se entiende que todas las comunicaciones a las que se refiere el reclamante quedarían fuera del ámbito de esta excepción, estando prohibidas salvo que se pruebe que el reclamante solicitase su recepción. Por tanto, la cuestión controvertida en la que debe centrarse el presente procedimiento es la referida a comprobar si todas las comunicaciones electrónicas recibidas a partir del 23-3-23 se remitieron debido a que el reclamante las solicitó expresamente Es obligación de la reclamada, como prestadora de servicios de la sociedad de la información que celebra contrataciones electrónicas y remite comunicaciones comerciales electrónicas a quienes hayan contratado sus productos o servicios, el documentar, registrar y conservar dichos consentimientos. Y entre los documentos aportados, no hay ninguno que acredite que el reclamante solicitase la recepción de los correos comerciales; pues si bien ALLZONE detalla y explica el procedimiento de contratación online, no se aporta una prueba de veracidad de los datos, sino que se limita a aportar capturas de pantalla que, por sí solas, no acreditan la prestación del consentimiento. En consecuencia, no ha logrado acreditarse por parte de ALLZONE que obtuviera el consentimiento previo del reclamante para poder remitirle las 13 comunicaciones comerciales recibidas, con posterioridad a solicitar la baja, oponiéndose a la recepción de las mismas.
Procedimiento: PS-00253- 2024
Multa a BBVA por haber firmar falsamente consentimientos de protección de datos de un cliente
• Arts Afectados: Art. 6.1. RGPD (Legitimación del tratamiento)• Resolución: 200.000 euros (120.000 euros por pago voluntario y reconocimiento de responsabilidad)
02106ABR2025 - Licitud – Entidades Bancarias -
El reclamante manifiesta que, junto con su mujer, solicitó a BBVA información en relación con un préstamo hipotecario. Manifiesta que BBVA, sin su consentimiento, ha firmado (haciéndose pasar por el reclamante) un documento denominado "Política de Protección de Datos Personales y Declaración de Actividad Económica", ocurriendo lo mismo con su mujer, no reconociendo ninguno las firmas manuscritas que obran en los citados documentos. Manifiesta que acudió a una sucursal de BBVA exponiendo lo sucedido, indicando que deberían haber contactado con el cliente para que se personase en la oficina y firmase la documentación correspondiente, pero que el empleado que le atendió le indicó que es algo que suelen hacer con normalidad "para agilizar los trámites". Junto a la reclamación aporta copia de la documentación controvertida, en la que constan los datos personales de la parte reclamante, así como también figuran tres casillas marcadas relativas a la otorgación del consentimiento para el tratamiento de sus datos personales con fines comerciales por parte de la entidad reclamada y empresas colaboradoras, así como para la elaboración de perfiles. En dicho documento consta una firma manuscrita. Asimismo, aporta otro documento relativo a su mujer, en idénticas condiciones. Presentada la reclamación, el BBVA manifestó, tras haber investigado los hechos, que “el gestor de la sucursal bancaria no respetó el procedimiento de firma de documentos por parte de los clientes” tratándose de un hecho aislado y puntual. Por tanto, BBVA parece reconocer así los hechos y, por lo tanto, la ausencia de base de legitimación para el tratamiento de datos personales del reclamante; por lo que se considera que hubo un tratamiento de datos sin base de legitimación , ya que se estaban relacionando datos personales correctos del reclamante y su mujer con una firma que no es la suya; así mismo, se encontraban marcadas las casillas del consentimiento para el tratamiento de sus datos personales con fines comerciales por parte de BBVA y empresas colaboradoras, así como para la elaboración de perfiles,
Procedimiento: PS-00021- 2025
Sanción de 36.000 euros a un gimnasio por múltiples infracciones por la toma de imágenes
• Arts Afectados: Art. 7 RGPD (Condiciones del consentimiento); Art. 5.1.e RGPD (limitación del plazo de conservación); Art. 28 RGPD (Encargado de tratamiento)• Resolución: 36.000 euros en total: 15.000 euros (Art. 7 RGPD); 15.000 euros (Art. 5.1.e RGPD); 6.000 euros (Art. 28 RGPD); 21.600 euros por pago voluntario y reconocimiento de responsabilidad
02273ABR2025 - Consentimiento, conservación y encargado del tratamiento – Gimnasios -
El reclamante manifiesta ser cliente de HOLIDAY FIT TRES CANTOS, un gimnasio, en el que los monitores que imparten clases en sus instalaciones realizan grabaciones de las sesiones de dichas clases, sin informar ni recabar los oportunos consentimientos de los participantes. Indica que, se ha opuesto en reiteradas ocasiones a la recogida y uso de su imagen en las clases en las que participa, pero que se le hace caso omiso. También, ha expuesto la problemática mediante correo electrónico, informándole de una cláusula general en los contratos de la entidad en la que se indica que, al formalizar el correspondiente contrato de uso de instalaciones de la entidad, se autoriza a la grabación del cliente en las instalaciones.
Tras iniciar las actuaciones de investigación, se observa que HOLIDAY FIT TRES CANTOS S.L. forma parte del grupo de empresas que actúan bajo la marca comercial HOLIDAY GYM, siendo la matriz del grupo la empresa SCHOOL FITNESS HOLIDAY & FRANCHISING S.L, disponiendo cada empresa del grupo de personalidad jurídica propia y autonomía de gestión. No obstante, SCHOOL FITNESS actúa como coordinadora y se encarga de gestiones comunes del grupo como la promoción de la marca comercial, siendo la encargada de gestionar las distintas cuentas que el grupo dispone en redes sociales para estas promociones y de la publicación de contenidos. El gimnasio ubicado en Tres Cantos, por tanto, es competencia de HOLIDAY FIT TRES CANTOS S.L., siendo el personal que allí trabaja empleados de esta entidad. De los hechos se determina:
- Sobre el consentimiento otorgado: se manifiesta que el consentimiento para la grabación, además de las cláusulas contractuales, se recaba de forma verbal al inicio de cada clase que vaya a ser grabada, y que en caso de que alguna persona indique que no quiere ser grabada, se le solicita que se retire para no salir en la grabación o que abandone el aula durante ese momento. No obstante, en la copia aportada del contrato de alta aportado no figura una cláusula de consentimiento para el tratamiento en cuestión (siendo de 2016). Y tras revisar las cláusulas de contratación actuales, tampoco puede afirmarse que el interesado sea libre para otorgar su consentimiento a fin de que se pueda utilizar su imagen en la web y redes sociales, pues, la firma del documento conlleva la aceptación íntegra y expresa de todas las cláusulas del contrato y, por tanto, del tratamiento de su imagen también.
- Sobre el plazo de conservación de las imágenes: según recoge el RAT, en el apartado referente al tratamiento de imágenes y plazo de supresión, “se conservarán durante tiempo indefinido”. Este plazo de conservación no cumple con lo requerido por el RGPD en el sentido de que los datos serán considerados por el tiempo estrictamente necesario al objeto de realizar el tratamiento. La conservación por tiempo indefinido no se ajusta a esa interpretación estricta que prevé la normativa, toda vez que la conservación de las imágenes no sólo no tendría un tiempo determinado de conservación, sino que también y precisamente por ello, ese plazo de conservación se excedería de la finalidad para la que fueron recogidas.
- Sobre los roles de las empresas del grupo: la realidad de los hechos permite dilucidar el verdadero rol de SCHOOL FITNESS y HOLIDAY FIT TRES CANTOS respecto de la grabación y publicación de imágenes y vídeos de los clientes del gimnasio en la web y redes sociales a fin de promocionar la marca comercial, concluyendo que la matriz SCHOOL FITNESS en realidad era la responsable de tratamiento de esas imágenes y vídeos, mientras que el gimnasio HOLIDAY FIT TRES CANTOS actúa como encargado de tratamiento. Sin embargo, en los documentos aportados las entidades figuran como corresponsables, no como responsable y encargados, por lo que le incorrecta asignación de roles en este caso conlleva la falta de formalización del correspondiente encargo de tratamiento.
Procedimiento: PS-00172- 2024
5.000 euros por hacer llamadas publicitarias a pesar de estar inscrito en la Lista Robinson
• Arts Afectados: Art. 48 LGT (Llamadas comerciales); Art. 23 LOPDGDD (Sistemas de exclusión publicitaria)• Resolución: 5.000 euros (3.000 euros por pago voluntario y reconocimiento de responsabilidad)
02276ABR2025 - Llamadas comerciales – Lista Robinson -
La reclamante recibe una llamada de la Clínica Gerdental ofertando varios tratamientos y le comunica que está registrada en Lista Robinson. Junto a la notificación se aporta certificado de registro activo en el Servicio de Lista Robinson, copia de su factura telefónica en la que se refleja la llamada y captura de pantalla de la llamada recibida. Tras realizar las actuaciones de investigación respecto al número de teléfono asignado, se concluye la titularidad de la línea telefónica corresponde a EVERYWHERE TECHNOLOGY S.L. Dicha empresa reconoce haber realizado la llamada con motivo de la campaña concertada entre esta y Clínica Gerdental, alegando haber revisado una base de datos que debe estar rellena por los operadores de telecomunicaciones indicando si el abonado del número telefónico acepta o no el uso de sus datos personales con fines comerciales o publicitarios, sin tomar la precaución de revisar por su cuenta la lista Robinson para corroborar estos datos. Aporta copia del contrato celebrado con Clínica Gerdental para la concertación de citas que motiva la realización de la llamada. Asimismo, afirma haber revisado una base de datos donde consta si el abonado del número telefónico acepta o no el uso de sus datos personales con fines comerciales o publicitarios, pero sin revisar la lista Robinson para confirmar estos datos.
Sobre los derechos de los usuarios respecto a las llamadas telefónicas con mensajes publicitarios que reciben, el artículo 48.1.b) de la LGT, anteriormente trascrito, señala que los usuarios tienen derecho a oponerse a recibir llamadas no deseadas con fines comerciales y a ser informados de ese derecho. No obstante, como el citado artículo no configura explícitamente el derecho de oposición, deberemos acudir a las normas de protección de datos en las que sí se regula. Esto es, los artículos 21 RGPD (derecho de oposición) y 23 LOPDGDD (Sistemas de exclusión publicitaria) respectivamente. En el presente caso, quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo. A estos efectos, para considerar cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión incluidos en la relación publicada por la autoridad de control competente. De lo anterior se desprende que la realización de llamadas comerciales al reclamante a pesar de su oposición supone la vulneración de lo estipulado en el artículo 48.1.b) de la LGT.
Procedimiento: PS-00023- 2025
La AEPD sanciona a una inmobiliaria con 20.000 por utilizar los datos de los buzones
• Arts Afectados: Art. 6 RGPD (Legitimación); Art. 14 RGPD (Información al interesado)• Resolución: 20.000 euros (12.000 euros por pago voluntario y reconocimiento de responsabilidad)
02277ABR2025 - Licitud del tratamiento – Inmobiliaria -
El reclamante manifiesta que era trabajador de ESTUDIO ALCAZAR, indicando que sus superiores reunieron a sus trabajadores instándoles a que realizaran fotos y vídeos de los buzones de las Comunidades de Propietarios de los inmuebles que visitaran para elaborar una base de datos, sin recabar el consentimiento de los titulares de los datos y sin informar a estos a dicho respecto. En concreto, señala que tenían que proporcionar los siguientes datos: calle, número de bloque y nombres que aparecían en los buzones junto con la planta y la puerta en la que estos habitan. Afirma que, al negarse a realizar dicha actuación que considera contraria a la normativa de protección de datos, fue despedido. El reclamante aporta video de una conversación mantenida, entre quien reclama y el número de teléfono de su supervisora en ESTUDIO ALCAZAR. En dicha conversación, la supervisora reconoce expresamente que esta práctica estaba siendo llevada a cabo por los trabajadores y que formaba parte de la metodología implementada para la gestión de zonas. Además, ante la objeción del reclamante sobre la legalidad de la práctica, la supervisora no niega su existencia ni aporta una justificación, sino que se limita a remitir cualquier cuestión sobre su validez “al sector jurídico”.
- Sobre la legitimación del tratamiento, tras las actividades de investigación llevadas a cabo por la AEPD, se constata un registro correspondiente a “H.H.H.” de la calle “***DIRECCIÓN.4” como cliente de “***EMPRESA.9” del CRM (Programa de Gestión de Clientes) Inmobiliario de ESTUDIO ALCAZAR, en el que sólo consta el nombre, apellidos, dirección y fecha del último contacto. La procedencia de esta información figura en Plataforma como “Colaborador interno” y “Gestión Directa”. La fecha 25 de abril de 2023 que aparece como de creación del registro, es el día anterior a la llamada que el reclamante manifiesta que recibió de la directora de la agencia inmobiliaria. ESTUDIO ALCAZAR manifiesta que el origen de la información es el “directorio público ***URL.2”. Sin embargo, dicho directorio no incorpora el dato del número de piso, tal y como figura en la base de datos de la Plataforma. A la luz de los hechos, se entiende que se habría producido una captación de los nombres, apellidos y dirección de los buzones de las Comunidades de Propietarios de los inmuebles para elaborar una base de datos, sin recabar el consentimiento de los titulares de los datos para su tratamiento, por parte de ESTUDIO ALCAZAR, sería un tratamiento ilícito de datos personales.
-Sobre la falta de información a los interesados, el artículo 14 RGPD establece la obligación del Responsable de proporcionar información clara y accesible al interesado cuando los datos personales no han sido obtenidos directamente de él. Dicha obligación tiene como finalidad garantizar la transparencia en el tratamiento de los datos, permitiendo a los interesados conocer el origen de sus datos, la finalidad del tratamiento, la base jurídica que lo sustenta, los destinatarios de la información, los plazos de conservación y los derechos que les asisten, máxime cuando los datos no se han obtenido directamente de los interesados pues el riesgo de pérdida de control y disposición del interesado respecto de los datos personales que le conciernen es mayor. En este caso, los superiores de ESTUDIO ALCAZAR reunieron a sus trabajadores, instándoles a que realizaran fotos y videos de los buzones de las Comunidades de Propietarios de los inmuebles que visitaran para elaborar una base de datos, sin que conste que se les proporcionara a los titulares de dichos datos ningún tipo de información sobre el tratamiento de los datos recabados.
Procedimiento: PS-00266- 2024
7.000 euros a una clínica por la cesión de cartera de clientes a pesar de la oposición del interesado
• Arts Afectados: Art. 6 RGPD (Legitimación), Art. 21 LOPDGDD (Tratamientos realizados en determinadas operaciones mercantiles)• Resolución: 7.000 euros
02279ABR2025 - Licitud del tratamiento – Clínicas Estéticas -
El reclamante, cliente de DIBEA ESTETIC CANARIAS (Centro Ideal Meridiano), centro perteneciente al grupo cuyo propietario es DIBEA ESTETIC, S.L., denuncia que con fecha 1 de diciembre, con motivo del cierre del centro, DIBEA contactó con el reclamante comunicándole el cierre del centro con el que éste tenía un contrato de prestación de servicios de estética; a la vez que le informaba del acuerdo alcanzado con otra entidad para continuar con la prestación de los servicios contratados y le señalaba lo siguiente: “Para ello, a partir del día 5 de Diciembre le haremos llegar a sus responsables, todos sus datos e historial para que pueda continuar con sus tratamientos, salvo que previamente nos indique lo contrario (…) Si no está conforme con darse los tratamientos y ceder sus datos al colaborador ***EMPRESA.1, pinche en el siguiente enlace. Puede acceder a la siguiente landing para hacernos llegar firmada su disconformidad en el traslado de sus datos personales e historial: LINK https//www.centrosideal.com/atención-al-cliente/meridiano.”
En respuesta a este mensaje, ese mismo día, el reclamante contestó indicando que “Ya firmé la disconformidad, les envié mi DNI (…)”. Con esta respuesta cabe entender que el reclamante, según él mismo afirma, utilizó la vía expresamente señalada por DIBEA para rechazar la cesión de los datos personales incluidos en la historia clínica abierta en DIBEA al objeto de prestarle los servicios contratados. Esta oposición impide que se aplique el art. 21 LOPDGDD que presume la licitud del tratamiento que pueda derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.
Sin embargo, al dirigirse a la empresa colaboradora a fin de saber si DIBEA había facilitado su expediente; le confirman que disponen de su historial, ofreciéndole una cita. En consecuencia y a raíz de lo expuesto, DIBEA ha realizado un tratamiento de los datos personales del reclamante, consistente en su cesión a un tercero, sin contar con base de legitimación para ello.
Procedimiento: STS_1514_2025
El Tribunal Supremo apuntilla los límites a la desconexión digital y el uso de datos personales de trabajadores
• Arts Afectados: Art. 5.1.b RGPD (Limitación de la finalidad); Art. 5.1.c RGPD (Minimización de datos); Art. 6 RGPD (Licitud del tratamiento); Art. 88 LOPDGDD (Desconexión Digital del trabajador); Art. 18 LTD (Desconexión Digital del trabajador)• Resolución: Estimación parcial del recurso
02280ABR2025 - Desconexión Digital – Laboral -
En el presente recurso de casación se plantea conflicto colectivo que afecta a los 1.029 trabajadores de la mercantil TELEPERFORMANCE ESPAÑA SA que han suscrito con dicho empresario el acuerdo sobre home office y trabajo a distancia. En concreto, se plantea la legalidad de determinadas cláusulas del contrato tipo de trabajo a distancia, denominado «Acuerdo sobre Home Office y trabajo a distancia», que TELEPERFORMANCE suscribe con los trabajadores que teletrabajan. Por parte de la Audiencia Nacional, se han declarado nulos diversos apartados. Entre los distintos motivos de recurso planteados, dos de ellos se vinculan estrechamente con la normativa de protección de datos:
- Sobre la facilitación por parte del trabajador a la empresa de su correo electrónico y teléfono personal: Una de las cláusulas que habían sido anuladas por la Audiencia Nacional cláusula obligaba a los trabajadores a proporcionar a la empresa su correo electrónico y número de teléfono personal para ser contactados en caso de urgencias del servicio. Sin embargo, el Tribunal Supremo entiende que esta cláusula no incumple, por sí sola, las exigencias de finalidad, adecuación, pertinencia y limitación a lo necesario del tratamiento de datos personales (principio de minimización); declarando su validez, indicando en todo caso su limitación solo cuando «fuera necesario» contactar con ella «por urgencias del servicio». Si bien el trabajador a distancia tiene derecho a que la empresa le proporcione todos los medios, equipos y herramientas necesarios para el desarrollo de la actividad, y la empresa no podrá exigir al trabajador la utilización de dispositivos de su propiedad en el desarrollo de su trabajo a distancia, esto no impide la facilitación a la empresa del correo electrónico y número de teléfono personal, que puede ser necesaria, adicionalmente, para la «ejecución» del contrato de trabajo (por ejemplo, la empresa tiene que garantizar a la persona trabajadora a distancia, especialmente en caso de teletrabajo, la atención precisa en el caso de dificultades técnicas). Máxime cuando TELEPERFORMANCE no proveía a los teletrabajadores de móvil ni de correo de empresa.
- Sobre las previsiones sobre desconexión digital: Por otra parte, TELEPERFORMANCE había incluido en los contratos una disposición que permitía contactar a los trabajadores fuera de su horario laboral en casos de urgencia justificada. El Tribunal Supremo ha confirmado la nulidad de esta cláusula, destacando que los límites a la desconexión digital no pueden ser establecidos unilateralmente por la empresa. Según la LOPDGDD, las modalidades del ejercicio del derecho a la desconexión deben ser acordadas en la negociación colectiva o, en su defecto, entre la empresa y los representantes de los trabajadores. Recuerda que la legislación vigente no solo permite, sino que obliga a las empresas a elaborar una «política interna» sobre el derecho a la desconexión digital. Y dicha política interna debe elaborarse «previa audiencia» de los representantes de las personas trabajadores, lo cual no consta y no consta que se haya hecho en el presente supuesto, lo cual vulnera los artículos 88.3 LOPDGDD y 18.2 de la Ley del Trabajo a Distancia.
Anotaciones: A la hora de interpretar el criterio del Tribunal Supremo en relación con la facilitación del correo electrónico y teléfono personal, entiendo que el mismo se refiere a las relaciones internas de la empresa, y no de cara a terceros. Esto es, la empresa podría hacer uso de del teléfono y correo personal del trabajador para contactar con él, remitir cuestiones relacionadas con la actividad (por ejemplo, avisar de cambios de turnos, o notificar algún tipo de incidencia o urgencia relacionadas con el trabajo); siempre y cuando no dispusiera de un teléfono/correo de empresa. Pero esto no implica que pudiera hacer uso de esos medios del trabajador para aquello que suponga el desempeño de su actividad profesional (por ejemplo, contactar con clientes o proveedores),
Procedimiento: PS-00107- 2025.pdf
La AEPD multa con 10.000 euros a una empresa por no tener formalizado el encargo de tratamiento
• Arts Afectados: Art. 28 RGPD (Encargado del tratamiento)• Resolución: 10.000 euros (6.000 euros por pago voluntario y reconocimiento de responsabilidad)
02359ABR2025 - Encargado del tratamiento – Videovigilancia -
La reclamante manifiesta que es trabajador de la entidad METALPRINT y que ésta en sus instalaciones ha instalado cámaras de videovigilancia que pudieran captar sonido, sin que se haya informado de ello a los trabajadores. Señala asimismo que hay cámaras que se orientan a zonas de descanso de los trabajadores y a la vía pública, aportando imágenes de ubicación de las cámaras. Por parte de METALPRINT, reconoce la realización de un tratamiento de datos personales, en su condición de responsable del tratamiento, de conformidad con el artículo 4.7 del RGPD, pues determina los fines y medios del sistema de videovigilancia instalado, con 4 cámaras destinadas al control de los procesos productivos, aportando documento explicativo de la disposición de dichas cámaras y su campo de visión (monitoreo) en el documento denominado “Cámaras videovigilancia Metalprint”. Asimismo, aporta como documentos adjuntos CONTRATO DE PRESTACIÓN DE SERVICIOS DE SEGURIDAD de la empresa ***EMPRESA.1 con ***EMPRESA.2. METALPRINT manifiesta que comparte sede social y administradores solidarios con ***EMPRESA.1, siendo ambas filiales de una tercera empresa. METALPRINT también ha aportado Carta informativa distribuida a sus trabajadores, en la que se detallan los sistemas de vigilancia, indicándose expresamente en el punto 13 de dicha carta que “el trabajador ha sido informado y consciente la grabación mediante circuito de vídeo vigilancia externa de las instalaciones”; si bien en el citado comunicado también se hace referencia a ***EMPRESA.1, no aporta dicho documento firmado por los trabajadores de METALPRINT.
No obstante, el contrato de prestación de servicios de seguridad aportado por METALPRINT es el firmado por ***EMPRESA.2 con una tercera empresa, con la que METALPRINT comparte sede social. Y es METALPRINT, en cuanto responsable del tratamiento, la que debe formalizar un contrato de encargo de tratamiento, con el contenido dispuesto en el citado artículo 28 del RGPD, en tanto en cuanto ***EMPRESA.2 también trata datos personales de METALPRINT, por lo que es preciso dicho contrato y cumplir con las obligaciones del RGPD, sin que conste que lo haya realizado. Por tanto, de conformidad con las evidencias de las que se dispone en este momento de acuerdo de inicio de procedimiento sancionador, considera la AEPD que los hechos son constitutivos de una infracción del art. 28 RGPD, dado que no ha formalizado ningún contrato u otro acto jurídico escrito con el contenido exigido con el encargado del tratamiento.
Procedimiento: PS-00443- 2024.pdf
Sancionan a una página web por prever en su política de privacidad exigir el DNI para el ejercicio de derechos
• Arts Afectados: Art. 5.1.c) RGPD (Minimización de datos)• Resolución: 5.000 euros (3.000 euros por pago voluntario y reconocimiento de responsabilidad)
02360ABR2025 - Minimización de datos – Página Web -
El reclamante denuncia ante la AEPD que por parte de la entidad EDA TV CONSULTING, S.L. responsable del sitio web https://edatv.news/, exige en su política de privacidad que para ejercer derechos será necesario aportar una copia del DNI. Por su parte, EDA TV manifiesta que la solicitud de esta información (copia del DNI) a los usuarios para el ejercicio de un derecho de protección de datos es una medida razonable para verificar la identidad de los usuarios y, por tanto, lícita, proporcionada y pertinente la solicitud y tratamiento de estos datos e información personal. Justifican su modo de actuación en el Considerando 64 del RGPD que indica “El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea (…).”
Sin embargo, el tratamiento de los datos personales de las personas que quieran ejercer los derechos de protección de datos frente a EDA TV debe estar presidido por los principios que relaciona el artículo 5 del RGPD, y en concreto, el “principio de minimización de datos”. Y es que hay que tener en cuenta que la imagen o fotocopia del DNI del solicitante (en sus dos caras), del pasaporte u otros documentos acreditativos de la identidad contiene datos personales que exceden de los necesarios para la identificación, tales como: la imagen, el número de equipo, o los nombres de los progenitores, sobre los que no concurre una obligación para la identificación.
La obligación de identificación puede cumplirse sin necesidad de solicitar la entrega o escaneo de dicha copia o imagen del DNI, pues existen otras alternativas igualmente válidas que permiten realizar esta comprobación de forma fiable. Por ello, entiende la AEPD que la solicitud de la entrega de una fotocopia o imagen del documento de identidad del solicitante de sus derechos es indiscriminada y supone un tratamiento excesivo de datos personales para los que EDA TV no está habilitado de acuerdo con el RGPD, puesto que éstos son inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento de que se trata (ejercicio de derechos).
