Resoluciones Relevantes Agosto 2025

El reclamante manifiesta haber recibido alrededor de cinco correos electrónicos diarios con fines publicitarios por parte de AD735 DATA MEDIA ADVERTISING, S.L., sin haber facilitado previamente sus datos personales. Denuncia además que, al intentar darse de baja a través del enlace incluido en los propios mensajes, fue redirigido a una página en la que se le solicitaban más datos personales (nombre, apellidos, teléfono y correo electrónico), lo que le generó desconfianza por considerar que se trataba de una estrategia para recabar más información. En la documentación aportada se incluyen dos correos electrónicos con contenidos comerciales vinculados a ofertas laborales, en los que se identifica como responsable del tratamiento a AD735 y se informa sobre los derechos de oposición y supresión, señalando canales específicos para su ejercicio, incluido un formulario web. AD735 alega haber obtenido los datos del reclamante a través del formulario habilitado en el sitio web www.premiumsales.es, con consentimiento expreso para fines de mercadotecnia, y aporta como prueba un “certificado de obtención de datos personales” en el que constan el correo del reclamante y una dirección IP, sin mayor detalle. Afirma que todos los mensajes enviados permiten el ejercicio de derechos a través de medios gratuitos y accesibles, y que no consta ninguna solicitud de baja cursada por el reclamante. Añade que, tras recibir el traslado de la reclamación por parte de esta Agencia, procedió a la supresión de los datos personales del afectado, notificándolo a sus encargados del tratamiento. Sostiene, además, que el reclamante no contactó previamente con la entidad para resolver la incidencia.

Recuerda la AEPD que  el responsable de las comunicaciones comerciales debe rendir cuentas con respecto a la obtención de la autorización del interesado para el envío de comunicaciones comerciales y con respecto a los mecanismos utilizados para conseguirlo. Si bien la norma no establece un mecanismo en concreto sobre cómo probar que el usuario ha solicitado las comunicaciones comerciales, el sistema que se implante debe, al menos, poder acreditar quién, cuándo, cómo y para qué se autorizó las comunicaciones comerciales, así como la información que se le suministró al usuario en el momento de obtenerlo. En un contexto en línea, el responsable podría conservar información sobre la sesión en la que el usuario autoriza el envío de comunicaciones comerciales, junto con la documentación sobre el flujo de trabajo realizado cuando dicha sesión tuvo lugar, y una copia de la información que se presentó en ese momento al interesado para su aceptación. No sería suficiente referirse únicamente a una configuración o página-formulario del sitio web en cuestión. Por consiguiente, para valorar si las comunicaciones comerciales fueron solicitadas, el responsable debe mantener un registro (log) de las actuaciones llevadas a cabo para poder probarlo.

En este caso, AD735 solamente presenta copia de un documento donde se incluye información sobre el correo electrónico del reclamante y una dirección IP, indicando que los datos fueron obtenidos el día 19/03/22, a través del formulario existente en la página web www.premium-sales.es; así como copia de un certificado en el que se indica que se ha procedido a suprimir los datos personales del reclamante de sus sistemas con fecha de baja 11/06/24. Pero de la documentación que aporta AD735 no se desprende en ningún caso que el reclamante se registrase en la web y otorgase el consentimiento para recibir comunicaciones comerciales, pues no se aporta ningún modelo de formulario, ni la manera de cómo se obtiene dicho consentimiento, ni fecha y hora de obtención. Esto es, no se aporta el log del presunto registro. Tampoco acredita haberse establecido un mecanismo en la web que garantice que no se introducen direcciones de correo electrónico inexactas (por error o por dolo). Por tanto, no puede determinarse que efectivamente contara con el consentimiento del usuario para el envío de tales comunicaciones.

El reclamante denuncia ante la AEPD que la entidad TRUEBA SPORT le remitió un correo electrónico con el asunto “Vuelta Hispania abre su tienda”,  informando sobre la disponibilidad de uno de sus productos que había solicitado previamente. Este correo iba dirigido a más de 300 personas, sin emplear copia oculta, revelando así su dirección de e-mail y la del resto de destinatarios. Al final del correo se indicaba que es una comunicación dirigida a su destinatario, de manera exclusiva y, que podía contener información confidencial. Requerida información sobre los hechos, TRUEBA SPORT reconoce que la comunicación se envió a múltiples interesados que habían solicitado información sobre el mismo artículo, y que a de una herramienta informática de gestión de las solicitudes de los usuarios y su contestación, y dado que numerosos usuarios habían solicitado información sobre el mismo producto, se contestó en un único correo electrónico a todos los interesados introduciendo a mano las diferentes direcciones de correo de estos interesados, introduciendo manualmente las direcciones en el campo “Copia” en lugar de “Copia oculta”, lo que atribuye a un error humano puntual. Afirma que ha cesado este tipo de envíos masivos no personalizados, documentado la incidencia en su “Registro de Incidencias” y que dispone de una política interna que exige el uso de copia oculta en tales casos.

En cuanto a la información al interesado, TRUEBA sostiene que incorpora en la firma de sus correos los datos del responsable del tratamiento, la base de legitimación y la información prevista en el artículo 22 de la LSSI-CE. Sin embargo, la AEPD comprobó que el correo aportado en la reclamación no incluía dicha información y que el texto actualmente empleado en la firma —con domicilio social actualizado en noviembre de 2024— fue elaborado con posterioridad a los hechos. Asimismo, la AEPD revisa el sitio web de la competición “Vuelta a Hispania” (https://www.vueltahispania.com/) en la cual se recaban datos personales en la página principal, en la página de formulario de registro y otras páginas como las de reservas de equipamiento en la sección del menú principal “Más”. Sin embargo, se constata que en diversas secciones no se identifica al responsable del tratamiento, ni tampoco se han encontrado Aviso Legal ni política de Privacidad donde se recojan los aspectos relativos al tratamiento de datos. Por ello, la AEPD determina:

- Sobre la Confidencialidad: al remitir un e-mail a una pluralidad de destinatarios desde la dirección de correo electrónico info@vueltahispania.com, entre los que figuraba quien reclama, sin utilizar la opción de copia oculta, TRUEBA SPORT vulneró la confidencialidad en el tratamiento de los datos de carácter personal, ya que los destinatarios del correo electrónico pudieron ver las demás direcciones a las que se remitió dicho correo. Así lo reconoce la propia TRUEBA SPORT en su escrito de respuesta a requerimiento de información de la AEPD.

- Respecto a la información al interesado: De otra parte, respecto a la obtención de los datos personales a través del sitio web y otros canales, no se proporcionó la información mínima exigida (identidad del responsable, finalidad, derechos, plazos de conservación, destinatarios), ni se acreditó que esta se facilitara antes de la obtención de los datos, no existiendo Aviso Legal ni Política de Privacidad. En cualquier caso, la AEPD rechaza que la información en materia de protección de datos se facilite con ocasión de estos correos electrónicos, por cuanto dicha información debe facilitarse en todo caso con anterioridad a la recogida de los datos personales.

La reclamación se dirige contra FACTOR DEPORTE, S.L., por la publicación en la red social Facebook de la imagen de una menor sin consentimiento del reclamante, padre de la misma. Se aporta enlace a la publicación y se alega que la imagen fue difundida sin autorización. La menor participó en la Escuela de Verano “Juan de Austria”, gestionada por FACTOR DEPORTE en virtud de contrato suscrito con INTURJOVEN para la gestión de instalaciones deportivas en el albergue-campamento juvenil de Aguadulce. Obra en el expediente el pliego de condiciones de dicho contrato, un informe de la Delegada de Protección de Datos de INTURJOVEN y la remisión al procedimiento por parte del Consejo de Transparencia y Protección de Datos de Andalucía.

FACTOR DEPORTE manifiesta que la madre de la menor, como responsable de su inscripción, marcó en el formulario correspondiente la casilla de autorización para el uso de su imagen, conforme a las condiciones de participación. Aportan copia del formulario firmado por la madre, de fecha 19/07/2022, en el que consta expresamente: “Autorizo a Factor Deporte a utilizar las imágenes y fotografías de las actividades en las que participe el alumno/a inscrito para su publicación en los diferentes medios en los que se publican las actividades realizadas en esta escuela de verano”, señalándose la opción “Sí Autorizo”. No obstante, en atención a la solicitud del padre, FACTOR DEPORTE retiró de su perfil de Facebook las imágenes en las que aparecía la menor.

El tratamiento de datos personales de menores de 14 años requiere el consentimiento de quien ostente la patria potestad o tutela. En este caso, la madre de la menor prestó dicho consentimiento, sin que constara controversia ni limitación al ejercicio de la patria potestad en el momento de la inscripción. No se ha acreditado que FACTOR DEPORTE tuviera conocimiento de un desacuerdo entre los progenitores ni de medida judicial alguna que restringiera la capacidad de la madre para consentir el tratamiento. Conforme al artículo 156 del Código Civil, los actos realizados por uno de los progenitores son válidos cuando se ajustan al uso social y a las circunstancias o en situaciones de necesidad. En caso de discrepancia, corresponde al juez resolver, previa audiencia de ambos progenitores y, en su caso, del menor. Recuerda la AEPD que no es competente para determinar la prevalencia de la voluntad de uno de los progenitores sobre el otro ni para resolver cuestiones derivadas de relaciones paterno-filiales.

Por tanto, habiéndose acreditado el consentimiento prestado por la madre en el momento de la inscripción, y no existiendo indicios de que FACTOR DEPORTE actuara con negligencia o desatendiera requerimientos válidos que anularan dicha autorización, no se aprecia infracción de la normativa de protección de datos. En consecuencia, no se han constatado elementos que permitan concluir que FACTOR DEPORTE, como responsable del tratamiento, haya vulnerado los principios y obligaciones establecidos en el RGPD, en particular en relación con la licitud del tratamiento de datos personales de la menor.

El reclamante presenta una reclamación contra BULNES CAPITAL, S.L., por el tratamiento ilícito de datos personales en la gestión de una deuda derivada de un contrato de préstamo que el reclamante niega haber formalizado. Sostiene que ha sido víctima de una suplantación de identidad, aportando denuncia policial en la que refiere la recepción de mensajes SMS por parte de entidades de recobro reclamando una deuda con EMPRESA.7, cuyo origen se remontaría a una contratación en línea que él niega haber realizado. Precisa que los datos asociados al contrato (nombre y DNI) coinciden con los suyos, pero no así la dirección postal ni el correo electrónico. Añade antecedentes de otra denuncia por suplantación vinculada a la contratación fraudulenta de líneas telefónicas, asociadas a una vivienda cuya dirección coincide con la utilizada en esta ocasión.

BULNES, actual acreedor de la deuda, señala haberla adquirido mediante contrato de cesión con EMPRESA.6, quien a su vez la compró a EMPRESA.5, entidad originaria del préstamo. En sus alegaciones, BULNES manifiesta que el nombre y DNI coinciden con los del reclamante, y que no apreció indicios de suplantación, toda vez que se habían abonado algunas cuotas del préstamo. Sin embargo, en la documentación contractual aportada por EMPRESA.5 no consta firma alguna ni elemento que acredite la voluntad del reclamante de celebrar el contrato. Aunque el documento recoge condiciones generales y particulares del préstamo, y contiene el nombre y DNI del afectado, los datos de contacto asociados (correo electrónico y dirección postal) no coinciden con los suyos. El contrato fue remitido por correo electrónico a una cuenta distinta de la declarada por el reclamante y carece de acuse de recibo o confirmación de aceptación.

BULNES admite que no verificó la autenticidad del contrato ni la licitud del tratamiento en origen, basando su actuación en la presunción de legitimidad de la información transmitida por los cedentes, a indicando que en su caso la infracción la habría cometido EMPRESA.5. En la escritura de compraventa y cesión de créditos consta que el adquirente —BULNES— declara conocer y aceptar las características de los créditos y su documentación. Sin embargo, dicha aceptación no exime de su obligación como nuevo Responsable de contar con base jurídica adecuada, y de comprobar, conforme al art. 6.1.b) RGPD, la validez del contrato que fundamenta la reclamación de la deuda. Todo tratamiento debe apoyarse en una causa de licitud válida. En supuestos como el presente, la ejecución de un contrato solo puede ser considerada base legitimadora si se acredita la existencia y perfección del mismo, lo que requiere al menos la manifestación de voluntad por parte del interesado, ya sea mediante firma o aceptación verificable.

Por tanto, el envío reiterado de mensajes SMS al teléfono móvil del cónyuge del reclamante, instándole al pago, ofreciendo planes de abono o advirtiendo de futuras acciones judiciales o inclusión en ficheros de morosidad, se sustenta en un contrato cuya autenticidad no ha sido demostrada. La documentación aportada por BULNES y sus predecesores en la cadena de cesión no acredita que el reclamante fuera parte en la relación jurídica de origen. La actuación de BULNES, que no desplegó diligencia suficiente para verificar la validez del crédito, ha supuesto un tratamiento de datos personales sin base jurídica, vulnerando así lo dispuesto en el artículo 6 del RGPD. Las alegaciones formuladas, centradas en su buena fe, la frecuencia de excusas en el sector del recobro y la imposibilidad de comprobar los hechos denunciados, no resultan suficientes para enervar su responsabilidad como actual responsable del tratamiento. En consecuencia, la Agencia considera que se ha producido un tratamiento ilícito de datos personales tanto en la gestión de la deuda como en los actos de comunicación dirigidos al reclamante, al carecer de una base jurídica válida. Ello constituye una infracción del artículo 6.1 RGPD imputable a BULNES.

Por parte de distintos reclamantes se pone en conocimiento de la AEPD que, al adquirir entradas “Twin Ticket” (TT) para acceder a LORO PARQUE y SIAM PARK, se exigía la captación de la huella dactilar, incluso a menores de edad, sin haber sido informados previamente del tratamiento de datos personales ni existir una alternativa al uso de dicha tecnología. Aportaron como prueba fotografías de paneles informativos y billetes, en los que constaba dicha exigencia y la ausencia de opciones distintas. Requerido por la AEPD, LORO PARQUE afirmó que la representación captada no constituía un dato personal, sino una plantilla biométrica generada automáticamente en el dispositivo lector, sin posibilidad de revertir la imagen original de la huella ni identificar al titular. Manifestó que no se almacenaban imágenes, sino representaciones matemáticas cifradas, y que su única finalidad era asegurar que quien accedía al segundo parque era la misma persona que accedió al primero. Reconoció no disponer de alternativa para validar el acceso sin la toma de huella, incluso en el caso de menores a partir de 3 años.

Las entradas TT, adquiridas en línea, se envían al correo electrónico del comprador en formato PDF con un código QR único. Este, al ser leído en los accesos, activa la solicitud de la huella. Tanto la venta como el control de accesos están gestionados mediante un sistema contratado con un tercero, que almacena la información en bases de datos estructuradas (Microsoft SQL) y permite trazar toda la actividad de los visitantes. LORO PARQUE admitió que el sistema asocia el QR con los datos personales registrados en la compra, como nombre, correo electrónico y, en caso de facturación, dirección o NIF. Confirmó que la plantilla biométrica —compuesta por diez puntos de coincidencia de la huella dactilar— se guarda cifrada en sus sistemas durante la vigencia del ticket, destruyéndose posteriormente.

Tras la información facilitada por LORO PARQUE, la AEPD concluye que la plantilla biométrica utilizada por LORO PARQUE constituye un dato personal, en tanto permite identificar de forma unívoca a una persona en el marco de un tratamiento automatizado. Aunque no sea técnicamente reversible, dicha representación digital sirve para verificar la identidad de los usuarios en el acceso, incluso de forma obligatoria, lo que refuerza su carácter identificador.

El tratamiento de la huella se realiza con fines de control de acceso, vinculado a una oferta comercial (Twin Ticket), sin que el usuario pueda oponerse al uso del dato biométrico sin perder el derecho de acceso. Aunque LORO PARQUE invoca la base legitimadora del artículo 6.1.b) del RGPD (ejecución de un contrato), la AEPD recuerda que esta base debe interpretarse de forma estricta: el tratamiento debe ser verdaderamente necesario para el cumplimiento del contrato, y no una condición impuesta unilateralmente. Además, el tratamiento implica una categoría especial de datos (biométricos con fines de identificación), lo que exige cumplir con los requisitos del artículo 9 del RGPD. LORO PARQUE no aporta base de legitimación adecuada al efecto, ni acredita haber realizado una evaluación de impacto relativa al tratamiento biométrico, como exige el principio de responsabilidad proactiva del artículo 5.2 RGPD. Por ello, concluye que la captación obligatoria de huellas dactilares, sin ofrecer alternativas, ni base legitimadora válida, ni análisis de riesgos, vulnera el artículo 9 del RGPD y pone de manifiesto deficiencias en el cumplimiento de los principios del artículo 5.1 RGPD, que debe poder demostrar el responsable.

Por parte de la REAL SOCIEDAD DE FÚTBOL se notificó a la AEPD una brecha de seguridad causada por un ataque de ransomware que afectó a todos sus servidores virtualizados y comprometió datos personales de aproximadamente 60.000 personas. Los datos alcanzados incluían información biométrica, identificativa (nombre, apellidos, fecha y lugar de nacimiento, DNI/NIE/pasaporte), de contacto, localización, imagen y voz, datos económicos y financieros, así como información de salud relativa a empleados. En el caso de jugadores y trabajadores se vieron además comprometidos datos de categoría especial: discapacidad, datos médicos y psicológicos, alergias, riesgos laborales, certificados de delitos sexuales, historial laboral y formativo, entre otros. El informe forense de la brecha concluyó que el cifrado de todos los servidores provocó una indisponibilidad total de los datos, aunque no se hallaron pruebas de exfiltración ni de publicación en foros, redes sociales o la dark web. No obstante, la entidad reconoció que las copias de seguridad también resultaron encriptadas, al estar alojadas en los mismos servidores, careciendo las copias de utilidad práctica. A raíz de las actuaciones de investigación, la AEPD llega a la conclusión de que en el presente caso se producen dos infracciones:

- Sobre la integridad y confidencialidad: El principio de integridad y confidencialidad, dentro del marco del RGPD, implica la obligación de garantizar que los datos personales se mantengan protegidos y disponibles, sin perjuicio de que únicamente puedan ser accesibles o modificados por aquellos que tienen autorización para su tratamiento, con el fin legítimo previsto por el responsable del tratamiento. En este caso, el acceso indebido a los sistemas y la instalación del ransomware constituyen una vulneración del principio de integridad y confidencialidad recogido en el artículo 5.1.f) RGPD. El ataque se originó a través de un equipo personal conectado a la red interna, lo que permitió a los atacantes expandirse a la totalidad de servidores virtualizados. Aunque no se acreditó la exfiltración, el hecho de que terceros accedieran y alteraran la disponibilidad de la información ya constituye una afectación de la seguridad de los datos. La magnitud del incidente se agrava por la tipología y sensibilidad de los datos afectados, que incluyen categorías especiales.

- Respecto a la falta de medidas de seguridad: De otro lado, las actuaciones de investigación evidencian que la REAL SOCIEDAD DE FÚTBOL no disponía de medidas técnicas y organizativas adecuadas al riesgo. La inexistencia de segmentación de red facilitó la propagación del ataque a todos los servidores. Además, los datos personales afectados, incluidos los de categoría especial, no estaban cifrados, lo que incrementó la gravedad de la brecha. La entidad reconoció la adopción de ciertas medidas tras el incidente, aunque sin justificar su alcance ni los criterios de aplicación (qué categorías de datos se protegerían, ni respecto de qué colectivos: empleados, abonados, clientes o jugadores). Tampoco explicó por qué determinadas medidas se aplicaron parcialmente o quedaron pendientes de ejecución, de lo que se desprende que, al menos, desde el momento en el que se produce la brecha hasta la actualidad REAL SOCIEDAD DE FUTBOL carecía de las medidas de seguridad adecuadas al riesgo.

La reclamante manifiesta que, tras comunicar un siniestro en su hogar a GACM SEGUROS como entidad aseguradora, ésta ha procedido a facilitar información relativa al siniestro a otro asegurado y ha remitido a la reclamante comunicaciones con datos de otro asegurado, lo que entiende que vulnera la normativa de protección de datos. Junto al escrito de reclamación, se aporta copia de una carta, de 23 de abril de 2024, remitida por el Servicio de Defensa del Cliente de GACM SEGUROS a un destinatario cuyos datos personales (nombre, apellidos y domicilio) no coinciden con los de la reclamante. En la carta se acusa recibo de un escrito recibido por GACM SEGUROS el 22/04/2024 y se informa que se ha solicitado a los responsables pertinentes aclaraciones acerca de la situación planteada en ese escrito y del plazo de que disponen (un mes) para responder al efecto. Adjunta también copia de un correo electrónico en cuyo encabezado figura como remitente GACM SEGUROS y como destinatario la reclamante. Sin embargo, en el cuerpo del mensaje GACM SEGUROS se dirige, con nombre y apellidos, a un tercero y a un siniestro particular que concierne a éste. Por último adjunta copia del correo electrónico, de respuesta al anterior, que la reclamante remitió a GACM SEGUROS indicando “parecen que están obviando aplicar también la normativa en lo referente a la ley de protección de datos, mezclando clientes y siniestros”.

Por parte de la AEPD se dio traslado de dicha reclamación a GACM SEGUROS, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos, sin que se recibiera respuesta a dicho escrito.

A raíz de los hechos descritos, recuerda la AEPD que la normativa de protección de datos consagra entre sus preceptos el principio de “exactitud”, que impone al responsable del tratamiento que verifique la exactitud de los datos del interesado a través de la implementación de medidas adecuadas. En el presente caso, la reclamación se ha originado debido a la comunicación, por GACM SEGUROS, de datos personales de un tercero distinto de quien reclama. A este respecto, teniendo en cuenta las evidencias de las que se dispone, se estima que la inexactitud objeto de esta reclamación podría atribuirse al responsable del tratamiento, vulnerando con ello GACM SEGUROS el artículo 5.1.d) del RGPD. Asimismo, además de la multa impuesta, la AEPD obliga a GACM SEGUROS a que adopte las medidas necesarias para garantizar el cumplimiento dl principio de exactitud de datos personales de sus clientes, con el fin de evitar que se asocien datos de un cliente en la documentación de otro cliente, y que se dirijan a detectar, comprobar y, en su caso, corregir las posibles inexactitudes cometidas de forma efectiva, para evitar que las posibles inexactitudes cometidas produzcan un impacto en los interesados, y/o reparar los posibles daños y perjuicios cometidos.

La reclamante denunció que el local de ocio nocturno de B.B.B. utilizaba cámaras de videovigilancia sin identificar al responsable del tratamiento ni facilitar información básica sobre el mismo, lo que impedía a los afectados ejercer sus derechos de acceso, supresión o limitación. Igualmente, se alegó la difusión en redes sociales de imágenes procedentes del sistema, en las que aparecía la denunciante y otros clientes. El investigado aportó diversa documentación: declaración responsable en la que reconocía que una cámara era ficticia; contrato de seguridad con Securitas Direct; fotografías de dos cámaras en funcionamiento y de carteles genéricos de videovigilancia sin datos de contacto ni identificación del responsable; así como capturas de WhatsApp que acreditaban el visionado remoto del local. Posteriormente alegó haber cumplimentado la cartelería con los datos de contacto necesarios, pero en el expediente solo consta un cartel vacío acompañado de otro con una dirección de correo electrónico, sin identificación del responsable ni cauces efectivos de ejercicio de derechos, por lo que dicha alegación fue rechazada.

- Infracción del deber de información: El sistema de videovigilancia carecía de la información mínima exigida: identidad del responsable, finalidad y posibilidad de ejercer derechos. El simple rótulo genérico o la inclusión de un correo electrónico no cumplen con la obligación de transparencia que el RGPD impone a todo responsable de tratamiento.

- Infracción del principio de minimización: B.B.B. sostuvo que la finalidad era garantizar la seguridad de personas e instalaciones, invocando el interés legítimo del artículo 6.1.f) RGPD. La AEPD, sin embargo, recuerda que la habilitación para videovigilancia deriva del interés público del artículo 6.1.e) en relación con el artículo 22 LOPDGDD. Se constató que las cámaras captaban de forma continua zonas sensibles como la barra y las mesas, donde los clientes permanecen largo tiempo y ejercen derechos ligados a la intimidad y al libre desarrollo de la personalidad. No existía justificación objetiva para vigilar de forma permanente dichas áreas, al contrario de lo que sucede con la entrada, salida o caja registradora. En consecuencia, la captación se consideró desproporcionada y contraria al principio de minimización.

- Sobre la falta de legitimación: La denunciante aportó publicaciones en Facebook donde aparecía su imagen junto con otros clientes, realizadas en el perfil identificado como “***PERFIL.1”. Aunque las imágenes procedían del sistema de videovigilancia del local, no se acreditó que B.B.B. fuera titular del perfil ni responsable de dichas publicaciones por lo que, al no poder atribuirse al investigado la condición de responsable del tratamiento en este ámbito, esta alegación fue estimada.

El reclamante denuncia que, con ocasión de un proceso electoral en la REAL FEDERACIÓN ESPAÑOLA DE TENIS DE MESA (RFETM), presentó diversos recursos a través de la dirección electrónica de la Junta Electoral, para su traslado al Tribunal Administrativo del Deporte (TAD). Dichos escritos fueron publicados íntegramente en la web de la RFETM, en abierto y sin restricciones, incluyendo sus datos personales (nombre, apellidos, DNI, domicilio, teléfono, correo electrónico), así como referencias a su cargo, firma manuscrita y datos de terceros mencionados en el texto. Alega que tal difusión vulnera lo dispuesto en el Reglamento Electoral de la RFETM, que prohíbe publicar datos personales del censo, así como lo establecido en la LOPDGDD y en los artículos relativos a publicidad de resoluciones (art. 58) y tramitación de recursos (art. 63) del propio Reglamento. Añade prueba documental y capturas de la web en que figuraban varios de sus recursos, accesibles junto a la mención al plazo de alegaciones.

La RFETM sostiene que la publicación responde a la Orden EFD/42/2024, que impone dar traslado de los recursos a quienes pudieran resultar afectados, y lo justifica en el art. 6.1.c) RGPD, al tratarse de una obligación legal. Añade que los datos difundidos fueron incorporados voluntariamente por El reclamante y que, por ello, existiría además consentimiento implícito. Argumenta también que la transparencia electoral exige publicidad amplia, que los censos sí se restringen, pero que no resulta viable limitar el acceso a recursos relativos a la elección de presidente.

Posteriormente, la Federación comunicó que eliminó los recursos una vez transcurrido el plazo de alegaciones y que, tras la reclamación, empezó a anonimizar los nuevos documentos. Reconoció haber consultado al DPD y a la propia AEPD por dudas sobre la legitimación para modificar los escritos.

La RFETM adujo que actúa como Administración Pública en el marco de funciones delegadas, por lo que resultaría aplicable el art. 77 LOPDGDD, que prevé la no imposición de sanción pecuniaria. Sin embargo, la Ley 39/2022 del Deporte califica a las federaciones como entidades privadas de naturaleza asociativa, aunque ejerzan determinadas funciones públicas por delegación, doctrina confirmada por el TC y el TS. Por tanto, no cabe su inclusión en el régimen del art. 77 LOPDGDD, reservado a un listado tasado de entidades públicas.

Respecto a la condición de responsable del tratamiento, la RFETM sostiene que no lo es, al no determinar fines ni medios, limitándose a cumplir la normativa electoral. Sin embargo, conforme al art. 4.7 RGPD, es responsable quien ejecuta el tratamiento impuesto por la norma, lo que en este caso corresponde a la propia Federación, encargada de la convocatoria y gestión del proceso electoral. La obligación de dar traslado a interesados (art. 24 Orden EFD/42/2024 y art. 118 LPACAP) no ampara la publicación íntegra en la web, pues el régimen de publicidad previsto se refiere a resoluciones y actos, no a los recursos presentados. Además, la LPACAP (arts. 45 y 46) y la LOPDGDD (DA 7ª) imponen límites estrictos a la publicación de datos personales, que no fueron observados.

La difusión de documentos con datos sensibles del reclamante y de terceros, sin restricción de acceso, carece de cobertura normativa y vulnera el principio de minimización de datos. El argumento de la Federación sobre la falta de intencionalidad tampoco excluye responsabilidad, pues basta la culpa por omisión del deber de diligencia (art. 28 LRJSP). Por ello, la publicación en la web oficial de la RFETM de los recursos íntegros del reclamante, con inclusión de sus datos personales y sin medidas de protección, constituye infracción imputable a la Federación por vulneración de la normativa de protección de datos, sin que resulte aplicable el régimen exonerador previsto en el art. 77 LOPDGDD.

La reclamante recibió en su domicilio una comunicación de CAIXABANK, entidad de la que afirmaba no ser cliente, relativa a la actualización de su Política de Privacidad. En la misma se anunciaba la realización de tratamientos de datos con empresas del Grupo para ofrecer productos personalizados, previa obtención de consentimiento, añadiendo que mientras tanto enviarían comunicaciones sobre productos similares basados en interés legítimo y en un perfil comercial básico. Se facilitaban canales para oponerse. Ante ello, la reclamante solicitó acceso a sus datos, cuestionando cómo los había obtenido CAIXABANK. La entidad respondió exigiendo copia del DNI para verificar la identidad, lo que la reclamante consideró excesivo. CAIXABANK alegó posteriormente que la reclamante sí era cliente, constando como cotitular de un contrato de garantía hipotecaria suscrito en 2005, motivo por el cual se archivaron las actuaciones iniciales. La reclamante interpuso recurso alegando que ya no era cliente, pues el contrato se había cancelado en 2008 mediante escritura de carta de pago y cancelación de hipoteca. En su contestación, CAIXABANK reconoció dicha cancelación, aunque explicó que la oficina no había registrado en sus sistemas la baja, lo que subsanó posteriormente.

Por CAIXABANK se alega la inexistencia de infracción, al entender que la reclamante suscribió un contrato de crédito con garantía hipotecaria en 2005, cuyo vencimiento estaba previsto en 2030. Alegó que la cancelación de la garantía hipotecaria en 2008 no suponía la extinción del contrato de crédito, al tratarse de negocios jurídicos independientes. Añadió que el crédito hipotecario debía diferenciarse del contrato de garantía, citando normativa hipotecaria, y que, al no haberse cancelado expresamente el crédito, el tratamiento de los datos era legítimo. No obstante, por parte de la AEPD, y tras la lectura de la documentación notarial, se desprende que lo suscrito fue un préstamo con garantía hipotecaria, siendo la hipoteca un derecho real accesorio del préstamo. La escritura de cancelación de 2008 acredita el pago de la deuda y la extinción de la garantía asociada. En consecuencia, no existían dos negocios jurídicos independientes, sino un único préstamo hipotecario extinguido en su totalidad en esa fecha. Por tanto, los datos de la reclamante carecían de base legítima para ser conservados más allá de la cancelación, no siendo aplicable el art. 6.1.b) RGPD.

En ningún momento se trata de discutir la naturaleza jurídica del contrato. El origen del procedimiento fue el envío de la comunicación sobre la actualización de la Política de Privacidad, lo que implicaba un tratamiento de datos personales pese a que la relación contractual con la reclamante había finalizado hacía casi dieciséis años. La alegación relativa a la naturaleza jurídica del contrato no altera este hecho esencial: el negocio jurídico estaba extinguido desde 2008, y los datos debieron ser cancelados conforme al principio de limitación del plazo de conservación. En consecuencia, la actuación de CAIXABANK constituye una infracción del artículo 5.1.e RGPD, al haber tratado datos personales más allá del tiempo necesario para los fines que motivaron su recogida.

La reclamante denunció a QUALITY-PROVIDER, S.A. (QUALITY) por la difusión de sus datos personales —nombre, apellidos, antiguo domicilio y NIF— sin consentimiento, al aparecer en la aplicación Inglobaly.com, vinculada a dicha sociedad. La reclamación se fundaba en que terceros accedieron a esos datos y los emplearon para contactar con ella a través de una red social personal. Aportó como prueba una captura de pantalla en la que figuraban sus datos y los de otro conviviente, junto con la identificación de QUALITY como titular del servicio.

QUALITY, en su respuesta inicial, alegó imposibilidad de identificar al reclamante por falta de copia de su DNI y sostuvo que no procedía suprimir los datos. La AEPD precisó que el requerimiento no versaba sobre cancelación, sino sobre el tratamiento ilícito de los datos.

Frente a la apertura de actuaciones de investigación, QUALITY formuló múltiples alegaciones de carácter formal, tales como (i) la falta de competencia de la Directora de la AEPD porque su mandato estaba caducado. No obstante, la Audiencia Nacional ya había confirmado en supuestos análogos la plena validez de sus actos; (ii) respecto a la normativa aplicable, QUALITY invocó la Directiva (UE) 2019/1937 de protección de informantes, sosteniendo que modifica sustancialmente el RGPD. La AEPD rechazó tal tesis: la norma aplicable era el RGPD y la LOPDGDD; (iii) también manifestó la caducidad y nulidad del procedimiento, así como la duración del mismo, indicando que la admisión a trámite era nula y que excedió el plazo de 6 meses. La AEPD aclaró que los plazos fueron respetados conforme a los arts. 63, 65 y 67 LOPDGDD y que la reclamación fue admitida dentro de plazo. Además, aclara que cuando el procedimiento incoado es por infracción del RGPD, la duración máxima es de doce meses (art. 64.2 LOPDGDD). Los 6 meses son aplicables a objeto exclusivamente de falta de atención de solicitud de ejercicio de derechos (iv); sostuvieron que nunca se negaron a colaborar, aunque en sus escritos manifestó que se acogía a su derecho a no declarar y negó la entrada a los inspectores en sus instalaciones; (v) y manifiesta que el reclamante no se dirigió primero a QUALITY, recordando la AEPD señaló que el art. 65 LOPDGDD no exige tal requisito y, en cualquier caso, se dio traslado de la reclamación a QUALITY antes de la admisión.

En cuanto al fondo, QUALITY no negó expresamente el tratamiento de los datos, limitándose a cuestionar la validez de la captura de pantalla aportada. Sin embargo, del examen de la prueba quedó acreditado que la información procede de sus propios sistemas, ya que en la captura figura un “usuario activo” vinculado a una inmobiliaria, lo que demuestra acceso legítimo a Inglobaly. Además, la propia QUALITY reconoció indirectamente que los datos procedían de registros públicos, invocando un supuesto interés legítimo; si bien la AEPD concluyó que no concurren los requisitos del art. 6.1.f) RGPD: pues no se informó a la reclamante conforme al art. 14, ni se justificó la ponderación entre intereses en conflicto. Se constató, además, incumplimiento de los principios de licitud y transparencia.

Por todo ello, se declaró acreditado que QUALITY trató datos personales sin base jurídica válida, configurando infracción del art. 6.1 RGPD, siendo procedente la imposición de sanción.

El reclamante denuncia que, tras reservar una villa a través de la plataforma gestionada por WORLD 2 MEET, se le exigió enviar copia completa del documento de identidad de todos los huéspedes para realizar el registro de viajeros. Aunque el reclamante proporcionó los datos esenciales (nombre, DNI, fecha de nacimiento y dirección), WORLD 2 MEET insistió en recibir imágenes completas del DNI o pasaporte, alegando que era obligatorio para cumplir con las exigencias de la Guardia Civil y el registro de viajeros.

WORLD 2 MEET argumentó que, como operador turístico que gestiona alojamientos vacacionales, esta solicitud responde a lo establecido en el artículo 4.3 del Real Decreto 933/2021, que regula las obligaciones de registro documental en actividades de hospedaje. Dado que su operativa es exclusivamente digital y sin atención presencial, el proceso de check-in se realiza online, incluyendo la verificación de identidad mediante el escaneo del código MRZ (Machine Readable Zone) de los documentos oficiales. Este código permite extraer automáticamente datos como nombre, número de documento, fecha de nacimiento y nacionalidad, que se trasladan al parte de entrada. WORLD 2 MEET explicó que, tras la lectura del MRZ, sus agentes validan manualmente la coincidencia entre los datos introducidos por el huésped y los contenidos en el documento de identidad. Para ello, deben visualizar la imagen del documento, aunque aseguran que esta no se almacena en sus sistemas y se elimina tras el check-out. La plataforma tecnológica utilizada no permite configurar el plazo de conservación de estos datos, ni ofrece alternativas a este procedimiento.

Sin embargo, la AEPD mantiene que esta práctica vulnera el principio de minimización de datos recogido en el artículo 5.1.c) del RGPD, que exige limitar el tratamiento a lo estrictamente necesario. El envío de una copia completa del DNI implica tratar información adicional no requerida por la normativa, como la fotografía, el CAN o el nombre de los progenitores, lo que supone un riesgo innecesario de suplantación de identidad. Además, el DNI no contiene todos los datos exigidos por el Real Decreto 933/2021, por lo que no es suficiente por sí solo para cumplir con la norma. La finalidad del decreto es garantizar la seguridad ciudadana, pero el envío de una copia del documento no asegura la verificación efectiva de la identidad. La AEPD considera que existen alternativas más proporcionales, como formularios online que recojan únicamente los datos exigidos, verificación mediante certificados digitales, comprobación con el medio de pago o autenticación por códigos enviados al teléfono o correo electrónico del huésped. En consecuencia, la exigencia de remitir imágenes completas del documento de identidad podría constituir un tratamiento excesivo, no pertinente y no necesario para la finalidad perseguida, contraviniendo los principios de protección de datos.

La reclamante manifiesta que DIAMOND FERVA es responsable de un local que cuenta con una cámara de videovigilancia en los soportales del edificio donde se ubica el referido local, estando dicha cámara orientada a zonas de paso al edificio, sin contar con autorización previa de la Comunidad de Propietarios. Por parte de la AEPD se dio traslado de dicha reclamación para recabar información, sin que se haya producido respuesta o aclaración alguna en tiempo y forma. Requerida colaboración de las Fuerzas y Cuerpos de Seguridad, tras desplazarse al lugar de los hechos, remiten Acta de Inspección emitida por la Policía Nacional constatando que el edificio en cuestión se corresponde con un edificio exclusivamente para oficinas. En las fotografías aportadas se puede observar la cámara, color negro situada sobre la fachada próxima al portal del edificio, así como el cartel informativo que se encuentra debajo de la misma. Dicho cartel indica que la cámara de video-vigilancia pertenece al edificio y no al establecimiento DIAMOND. En las fotografías desde la 13 a las 19 e puede observar el acceso a la terraza de uso privativo establecimiento DIAMOND próximo al portal del edificio así como la ubicación de la cámara de video-vigilancia que dicho establecimiento tiene instalada en dicha terraza. El único cartel informativo que se observa pertenece a SECURITAS DIRECT.

Por ello, de conformidad con las pruebas aportadas, se constata que la cámara objeto de reclamación instalada en la fachada del inmueble no entra en la responsabilidad de DIAMOND al ser ajena al establecimiento en cuestión. Como indica dicho cartel dicha cámara de video -vigilancia pertenece al edificio no al establecimiento DIAMOND. No obstante, con motivo del desplazamiento, se procede, igualmente, a examinar el sistema de cámaras de DIAMOND poniendo de relieve la insuficiencia de cartel informativo, indicando que se trata de «zona video-vigilada», así como del responsable y finalidad del tratamiento de los datos, indicando que el único cartel informativo pertenece a SECURITAS DIRECT, el cual no cumple con los requisitos de la normativa.

El reclamante, destinatario de un paquete gestionado por SERVICIOS URBANOS VAAM S.L. (URVAAM), denunció que la empresa afirmó haber entregado el envío en su domicilio, extremo que niega. Al contactar con atención al cliente, se le remitió un albarán en el que constaban su nombre y apellidos, pero también una firma y un número de DNI que no reconoce como propios. Considera que el paquete fue entregado a un tercero sin su consentimiento o que el albarán fue manipulado, vulnerándose la normativa de protección de datos. Aporta al expediente las conversaciones mantenidas con URVAAM a través de WhatsApp, donde la empresa facilitó el recibo de entrega con nombre, DNI y firma manuscrita de otra persona, lo que llevó al reclamante a insistir en la resolución de la incidencia. También se incorporó el propio albarán, en el que figuran los datos del reclamante junto con un DNI y firma ajenos. URVAAM alegó no ser responsable del tratamiento, indicando que actuaba como prestadora de servicios para YUN EXPRESS S.L., responsable del envío. Señaló que subcontrató la entrega con LAN COURIER S.R.L., que a su vez la delegó en un profesional autónomo (B.B.B.), quien finalmente recurrió a otro trabajador (A.A.A.)  colaboradora de la empresa URVAAM, sin formalizar el contrato exigido por el artículo 28 del RGPD. URVAAM defendió que la responsabilidad recaía en estos subcontratados, al ser quienes gestionaron la entrega y debieron adoptar medidas para proteger los datos personales.

Tras las actuaciones de investigación, la AEPD determina que YUN EXPRESS es responsable del tratamiento al determinar los fines y medios de la entrega, mientras que URVAAM actúa como encargado, constando un documento de encargo de tratamientos entre ambos. Por su parte, LAN COURIER, B.B.B. y A.A.A. actúan como subencargados, aunque su intervención no contó con las garantías contractuales previstas en el artículo 28 RGPD.

- Respecto al Encargo de tratamiento entre YUN EXPRESS y URVAAM, el mismo presenta múltiples deficiencias: en primer lugar, no consigna la representación legal de YUN EXPRESS, figurando únicamente una línea punteada, sin mención del nombre, cargo o poder del representante correspondiente, omisión que puede comprometer la validez del contrato, ya que impide verificar si la parte en cuestión estuvo debidamente representada en el momento de la firma. En cuanto al contenido del contrato, se limita a reproducir de forma genérica el RGPD. La cláusula referida a “Medidas de Seguridad”, se limita a reproducir el artículo 32.1 del RGPD, indicando, sin más, que el encargado del tratamiento ha adoptado las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado. La mera reproducción del artículo 32.1 del RGPD no satisface el nivel de detalle exigido por el artículo 28.3 del RGPD al no definir con claridad qué medidas debe implementar el encargado lo que impide evaluar la adecuación al riesgo y la trazabilidad del cumplimiento normativo. Por otro lado, contiene una autorización general para la subcontratación que no identifica a los subencargados ni establece mecanismos de control por parte del responsable. Estas carencias contravienen las obligaciones del artículo 28.3 RGPD, al impedir verificar la idoneidad de la cadena de tratamiento. Tampoco se precisa en el contrato de manera detallada el modo en que el encargado deberá ayudar al responsable a cumplir con sus obligaciones.

- En cuanto al principio de exactitud, se constata un tratamiento inexacto de los datos del reclamante, pues su identidad aparece asociada a un DNI y una firma de un tercero, generando una doble afectación: por un lado, el reclamante recibe un documento en el que sus datos se vinculan con otros ajenos, y por otro, la persona cuyo DNI y firma constan en el albarán queda expuesta al acceso indebido de sus datos por parte del reclamante.

En octubre de 2023 se notificó a la AEPD una brecha de datos personales de GRUPO BONATEL, indicando haber “recibido notificación de que la base de datos de la empresa ha sido encriptada y se pide la realización de un pago para evitar su publicación y comunicación pública.”, ampliando información días más tarde. Asimismo, también se reciben notificaciones de diferentes brechas de datos relacionadas con el mismo incidente por parte de BONATEL BUSINESS, SINEDIE ADVISOR, SI DREAM"S PROJECTS, AGRUPACION EMPRESARIAL PLUS, formando todas ellas parte del GRUPO BONATEL. Inicialmente se indicó que GRUPO BONATEL era la sociedad matriz , pero matizaron posteriormente que no conforman un grupo empresarial, existiendo entre GRUPO BONATEL, S.L.U y el resto de las sociedades afectadas un contrato de prestación de servicios de soporte auxiliar (actividades de administración, cuentas y finanzas, recursos humanos, gestión fiscal específica y asesoramiento informático). En relación con la notificación de la brecha, todas las entidades han aportado descripciones análogas e informes similares. Respecto a la brecha, el número de afectados sería de 976, siendo empleados y exempleados de las distintas entidades, viéndose comprometidos nombre, apellidos, DNI y datos de contacto como dirección postal, correo electrónico y número de teléfono. Por la información recabada, también podría haber información financiera que estuviera contenida en las nóminas y en otra documentación económica, si bien las entidades no han señalado ese dato como afectado más allá de BONATEL BUSINESS.

Según los informes aportados, se indica que se dejó activo un usuario genérico de la VPN (“Guest” o “invitado”) cuyas credenciales no habían sido actualizadas. En dicho informe se indica que al atacante le bastó con un ataque de fuerza bruta para obtenerlas. Este modo de ataque y obtención de credenciales revela, asimismo, que no se tenía establecido un número máximo de intentos de autenticación antes vetar el acceso, lo que constituye una grave falta de una medida de seguridad. También habría evidencia de que el controlador del dominio era un equipo vulnerable. Se trata de un “equipo antiguo” que ni siquiera permite obtener evidencias, aunque, afirma el forense “existen múltiples vulnerabilidades conocidas mediante las cuales se puede explotar esa versión del sistema operativo”. Tampoco consta que, de cara al acceso remoto a la red privada virtual (VPN) se establecieran mecanismos de acceso y autenticación más allá de la solicitud de usuario y contraseña, como podría ser el doble factor de autenticación.

Por ello, se considera que hay suficientes evidencias para considerar la falta de medidas que se materializó en la vulneración de la confidencialidad en una doble vertiente:

a) De un lado, del tratamiento de datos de sus propios trabajadores, actuando GRUPO BONATEL como responsable del tratamiento,

b) De otro, el tratamiento de datos personales de trabajadores de BONATEL BUSINESS, SINEDIE, SI DREAMS y AGRUPACIÓN; realizando dicho tratamiento GRUPO BONATEL como encargado del tratamiento, como consta en los documentos firmados.

Todos estos aspectos proporcionan suficientes evidencias para considerar que, en el momento en que se produjo la brecha, la parte reclamada no tenía implantadas medidas técnicas u organizativas apropiadas que garantizaran una seguridad adecuada de los datos personales de sus trabajadores, en cuyo tratamiento tenía la condición de responsable, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de («integridad y confidencialidad»).

Con motivo de la denuncia del Instituto para la Cultura Democrática en la Era Digital, la AEPD ha sancionado a la Cámara de Comercio, Industria, Servicios y Navegación de España (Cámara de España, CDE) por la cesión y explotación comercial de datos personales de trabajadores autónomos. La investigación se inició a raíz de una denuncia respaldada por un informe de Xnet que advertía de la venta y exposición en internet de información identificativa y económica de este colectivo. La AEPD constató que la Agencia Tributaria comunicaba a la CDE datos censales en virtud de un convenio que limita su uso al cumplimiento de funciones público-administrativas y a la elaboración del censo público de empresas. Sin embargo, la CDE transmitió a Camerdata, en base a un contrato una base de datos que incluía NIF, direcciones completas, actividad y otros campos, con el objeto de integrarlos en un “Fichero de Empresas Españolas”. Si bien se prohibía expresamente la cesión directa de la base de datos, se permitía que Camerdata los incorporara a sus propios sistemas de tratamiento, utilizando esos datos con fines comerciales, como campañas de marketing, análisis de solvencia (scoring crediticio) y prevención del fraude. Estos datos eran posteriormente cedidos a terceros, incluyendo empresas como Axesor, Datacentric, Iberinform, Informa y Equifax.

A raíz de las investigaciones, la AEPD considera probadas las siguientes infracciones:

- Limitación de la finalidad: la Cámara utilizó datos a los que tuvo acceso en cumplimiento de una obligación legal y para desarrollar una función pública para un fin distinto e incompatible con el previsto en la Ley, destinándolos a una base privada objeto de cesión y explotación comercial ulterior.

- Principio de lealtad: los interesados no fueron informados de que sus datos serían cedidos a Camerdata. La información facilitada en las webs camerales resultó incompleta y equívoca, generando un tratamiento engañoso contrario a la confianza depositada en instituciones públicas. La cesión  se  realizó sin existir una expectativa razonable de que ese tratamiento posterior pudiera efectuarse.

- Confidencialidad: inicialmente, CAMERDATA manifestó que recibía de la CDE el NIF de empresarios autónomos, información que rectificó, indicando que le proporcionaban el hash del NIF, obteniendo el NIF por medios propios. Recalca la AEPD que el hecho de que CAMERDATA pudiera obtener por sus propios medios el dato del NIF de los autónomos fue gracias a la cesión del hash resultante de aplicar el algoritmo en cuestión. Por tanto, CDE sí cedió los datos de autónomos, pero no anonimizados, sino seudonimizados, y por ende, dentro del ámbito de aplicación del RGPD.

- Licitud del tratamiento: la AEPD remarca que no existía base jurídica válida que legitimara la cesión de datos. No hay amparo en el artículo 19.2 LOPDDD, ni hay compatibilidad con los fines de la Ley 4/2014 de Cámaras, y el interés legítimo invocado por la Cámara no supera el test de ponderación frente al derecho fundamental a la protección de datos.

- Información a los interesados: por último, no consta que por parte de CDE se cumpliera con la obligación de comunicar el origen y uso de los datos a los interesados, ni se acreditó la evaluación de esfuerzo para justificar la excepción del art. 14.5 RGPD para no realizar dicha comunicación.

Asimismo, la resolución descarta la aplicación del art. 77 LOPDGDD —que regula el régimen sancionador de las Administraciones Públicas— al entender que la cesión no respondía a funciones públicas encomendadas por la Ley 4/2014 de Cámaras, sino a un contrato privado suscrito libremente por la CDE con fines comerciales, procediendo con ello a la imposición de multa.

Una usuaria denunció que terceros obtuvieron fraudulentamente duplicados de su tarjeta SIM de la línea contratada con DIGI, utilizando para ello un DNI manipulado. Con dichas tarjetas, los suplantadores accedieron a información privada y a sus datos bancarios, realizando transferencias y operaciones Bizum. La reclamante aportó contrato, facturas, denuncias policiales y la contestación de DIGI, en la que la compañía reconocía que el duplicado se tramitó en un distribuidor de Tarragona mediante un documento de identidad falsificado.

DIGI explicó que sus procedimientos exigen la verificación presencial con DNI original en tiendas propias o distribuidores y posterior validación manual en su departamento de backoffice, que además remite avisos automáticos al teléfono y correo electrónico vinculados a la línea. Según su relato, entre el 15 y el 18 de octubre un tercero solicitó en varias ocasiones duplicados de la línea presentando un DNI con los datos de la reclamante, logrando que los agentes de backoffice validaran la documentación falsa. En ese mismo periodo la propia afectada, al quedarse sin servicio, tuvo que acudir a otro punto de venta para recuperar la línea mediante nuevas tarjetas SIM, anulando así las fraudulentas.

La compañía alegó que aplicó las medidas de seguridad previstas y que la suplantación fue sofisticada, de modo que los procedimientos vigentes fueron superados. Añadió que reforzó sus protocolos tras el incidente, introduciendo nuevas medidas como doble verificación telefónica y presencial. También sostuvo que su plan de contingencia permitió mitigar los efectos del fraude y que la AEPD no acreditó incumplimiento de sus propios protocolos, tratándose únicamente de un “error humano” de dos agentes de backoffice que no detectaron la falsificación documental.

La Agencia, sin embargo, consideró que la existencia de protocolos formales no exonera de responsabilidad si no resultan efectivos en la práctica. La emisión de dos duplicados fraudulentos en días consecutivos evidenció fallos en la aplicación de los controles, que ni detectaron el documento falsificado ni impidieron que, tras la primera suplantación, se volviera a autorizar una segunda. Tampoco se estableció ninguna alerta ante la sucesión de incidencias ni medidas de precaución adicionales que habrían evitado la repetición del fraude. Además, la recuperación de la línea no fue consecuencia de un plan de contingencia de DIGI, sino de las gestiones realizadas directamente por la reclamante.

En base a todo lo expuesto, la AEPD concluye que DIGI expidió tarjetas SIM a un tercero no autorizado sin verificar la autenticidad del documento de identidad presentado, permitiendo un tratamiento ilícito de datos personales.

Con motivo de varias reclamaciones presentadas ante la AEPD, se alertó de un acceso indebido a datos personales custodiados por BANCO INVERSIS, entidad que presta servicios de inversión a clientes finales e institucionales. Los afectados recibieron notificaciones de entidades como INDEXA CAPITAL o EUROCAJA RURAL, en las que se les informaba de un ciberataque que permitió a terceros acceder a información personal sensible. Según las comunicaciones remitidas, los datos comprometidos incluyen nombre y apellidos, fecha y lugar de nacimiento, DNI/NIE/Pasaporte, sexo, estado civil, domicilio fiscal, correo electrónico, teléfono y nivel de estudios. INVERSIS notificó formalmente la brecha a la AEPD, estimando que afectó a unos 45.000 clientes directos y hasta 2 millones de interesados vinculados a clientes institucionales.

El incidente tuvo su origen en el servicio web de consulta de posiciones inversoras, desarrollado por INVERSIS, al que un tercero accedió mediante credenciales comprometidas de un cliente institucional. El sistema de autenticación permitía iniciar sesión con usuario y contraseña y, en virtud de la exención prevista en la Directiva PSD2, solo requería doble factor (OTP) cada 90 días. Ello posibilitó que, pese a existir un proceso de autenticación reforzada, no se solicitara OTP en el momento del ataque. Además, la configuración débil del servicio permitió modificar su comportamiento y acceder a datos de otros usuarios sin autorización.

INVERSIS reconoció que los atacantes explotaron esta vulnerabilidad y que, como consecuencia, se produjo una filtración de datos personales de gran magnitud. Las investigaciones técnicas confirmaron que el acceso no autorizado se prolongó durante varias semanas, hasta la implementación de medidas de contención y refuerzo de la seguridad. La entidad notificó la brecha a la AEPD, a los clientes institucionales y a los afectados, aportando informes jurídicos y técnicos, así como los contratos de encargo de tratamiento con sus socios financieros.

La AEPD considera que los hechos evidencian una vulneración del principio de integridad y confidencialidad previsto en el artículo 5.1.f) RGPD. El acceso ilegítimo a datos identificativos de un volumen tan amplio de interesados demuestra que las medidas técnicas y organizativas aplicadas no eran adecuadas para proteger frente a tratamientos no autorizados o ilícitos. El incidente supuso un riesgo elevado de fraude y uso indebido de la información personal de miles de clientes e inversores.