Resoluciones Relevantes ENERO 2026

Por parte de clientes y usuarios de PTV TELECOM (PROCONO, S.A.) se presentaron reclamaciones ante la AEPD tras hacerse público un incidente de seguridad que habría provocado la exposición y publicación en internet de datos personales de un elevado número de personas. Los reclamantes manifestaron haber tenido conocimiento del incidente tanto por comunicaciones remitidas por la propia entidad como por noticias publicadas en medios especializados y por la localización de bases de datos en foros y páginas web dedicadas a la comercialización ilícita de información. Algunos aportaron ficheros que, según indicaron, contenían sus propios datos personales extraídos de las bases de datos difundidas, así como capturas de pantalla, enlaces y copias de los correos electrónicos recibidos de la entidad. De forma coincidente, los reclamantes señalaron que los datos comprometidos incluían, entre otros, nombre y apellidos, dirección postal, teléfono, correo electrónico, número de DNI, fecha de nacimiento, nacionalidad y, en determinados casos, datos bancarios como IBAN de cuenta corriente o numeración de tarjetas bancarias. También se indicó que podían haberse visto afectados datos de personas que, sin ser clientes, habrían contactado previamente con la compañía para solicitar información comercial.

PROCONO comunicó a la AEPD que había sufrido un ataque a sus servidores de almacenamiento de datos personales, que afectó a alrededor de 130.000 clientes, dentro de un volumen total aproximado de 200.000 personas cuyos datos eran objeto de tratamiento. Indicó que los servidores atacados pertenecían a un proveedor externo y que los datos comprometidos incluían datos identificativos y de contacto, y en determinados supuestos datos económicos, financieros y de tarjetas bancarias. En un primer momento señaló también la afectación de datos de nacionalidad y cuentas bancarias, precisando posteriormente que la inclusión de la nacionalidad en las comunicaciones a los afectados obedeció a un error humano.

La entidad explicó que comunicó la brecha a los afectados mediante correos electrónicos y SMS, utilizando distintos modelos de comunicación en función de la tipología de datos comprometidos, coincidentes con los aportados por los reclamantes. Asimismo, detalló que del incidente se extrajeron diversos ficheros que contenían datos de clientes activos, solicitudes de contratación y bases de datos antiguas, algunas de ellas con datos bancarios cifrados y otras con numeración de tarjetas no cifrada, así como datos personales de técnicos de la empresa y auditorías de cobros. Posteriormente concretó que un número limitado de registros contenía tarjetas bancarias sin cifrar.

Para investigar el origen del incidente, PROCONO contrató un análisis forense y de respuesta ante incidentes de seguridad con una empresa especializada, cuyo informe concluyó que no había sido posible determinar la causa raíz del ataque por falta de evidencias, si bien se identificaron prácticas que pudieron facilitar el acceso no autorizado. La entidad aportó diversa documentación relativa a políticas internas, contratos con proveedores tecnológicos, gestión del servidor de correo electrónico, medidas reactivas adoptadas para la retirada de los datos publicados y comunicaciones con plataformas externas para la eliminación de enlaces. Por todo ello, concluyó la AEPD que la brecha de seguridad, y con ello la consecuente falta de confidencialidad se ha producido debido a la ausencia de medidas técnicas y organizativas adecuadas.

El reclamante denuncia la instalación de un sistema de videovigilancia en el COLEGIO ALONAI que incluía cámaras ubicadas en el interior de varias aulas, orientadas hacia los alumnos, así como cámaras en el exterior del centro enfocando a patios, accesos y parte de la vía pública. Asimismo, se denunciaba la ausencia de información previa y expresa a los trabajadores sobre la instalación de dichas cámaras, la inadecuación de los carteles informativos de zona videovigilada y la falta de atención a una solicitud de acceso a las imágenes formulada por la reclamante. Junto a la reclamación se aportó un reportaje fotográfico del interior y exterior del centro, en el que se observaban cámaras en tres aulas distintas enfocando a los pupitres, con un cartel genérico de “Zona videovigilada”, cámaras en la fachada dirigidas a escaleras y zonas exteriores, y carteles de una empresa de seguridad que advertían de la existencia de un sistema de alarma, sin información completa sobre el tratamiento de datos. También se aportó copia de la solicitud presentada por la reclamante solicitando todas las imágenes en las que pudiera aparecer, captadas en aulas, pasillos, patio y otros espacios del centro durante un periodo prolongado, así como la respuesta del colegio indicando que no era posible facilitar las imágenes por haberse superado el plazo de conservación, fijado en quince días.

En su respuesta, el COLEGIO ALONAI identificó como responsable del sistema de videovigilancia al ***PUESTO.1 del centro e indicó la existencia de cuatro cámaras interiores, cuyo visionado estaba limitado a dicha persona, y ocho cámaras exteriores cuyo acceso correspondía al personal autorizado de la empresa de seguridad contratada. Aportó un reportaje fotográfico adicional en el que se apreciaban cuatro cámaras en aulas distintas captando pupitres, seis cámaras exteriores enfocando a accesos, patios y otras zonas, carteles amarillos de videovigilancia sin cumplimentar, carteles de la empresa de seguridad, un único cartel informativo completo ubicado cerca de la sala de profesores, así como capturas de los monitores que mostraban imágenes de patios, entradas, parte de la piscina del centro y de la vía pública. También aportó copia del contrato de instalación y mantenimiento del sistema de videovigilancia y del contrato de encargo de tratamiento suscrito con la empresa prestadora del servicio.

De la documentación obrante se desprende que el sistema de videovigilancia tenía una doble finalidad: la preservación de la seguridad de personas, bienes e instalaciones y el control laboral del personal. No obstante, las imágenes captadas por las cámaras interiores incluían la mesa del profesor y varios pupitres ocupados por alumnos, y determinadas cámaras exteriores captaban de forma amplia la vía pública, con vehículos estacionados y ambos lados de la calzada, así como zonas extensas de la piscina del centro, incluyendo parte del vaso. Asimismo, se constató que la información facilitada a trabajadores y usuarios era insuficiente, al no existir comunicación previa clara a los empleados ni cartelería informativa adecuadamente cumplimentada en la mayoría de los espacios vigilados, especialmente en zonas exteriores y en la piscina, lo que supuso la comisión de múltiples infracciones en materia de protección de datos

La reclamante expone que, con ocasión de la entrega de material en las delegaciones de Pamplona y Logroño de la entidad RECICLAJES LOGROÑO, S.L., se le exigió la presentación de su DNI para formalizar dichas entregas y se procedió a realizar una fotocopia del mismo, pese a su oposición expresa, solicitando que únicamente se tomaran los datos necesarios. Señala igualmente que, en ese momento, no se le facilitó información alguna sobre la política de privacidad ni sobre el tratamiento de sus datos personales. Junto a la reclamación aporta dos albaranes emitidos por la entidad reclamada a su nombre, acreditativos de las transacciones realizadas. Requerida información a RECICLAJES LOGROÑO, manifiesta que no dispone de informes técnicos específicos, al asumir la propia empresa las funciones de seguridad; que tiene contratada la adaptación a la normativa de protección de datos; que los proveedores deben facilitar y consentir el tratamiento de sus datos personales como requisito para mantener relaciones comerciales; y que los datos recabados se conservan archivados y únicamente se comunican a los Cuerpos y Fuerzas de Seguridad del Estado cuando estos los requieren, afirmando que la exigencia del DNI responde a la obligación de facilitar periódicamente dicha documentación a dichos organismos.

De las actuaciones resulta acreditado que, en el momento de la entrega del material, se exigió a la reclamante la exhibición de su DNI y la realización de una fotocopia como condición necesaria para formalizar la operación, sin que se le ofreciera la información exigida cuando los datos personales se recogen directamente del interesado. La entidad reclamada reconoce que solicita y conserva de manera general la fotocopia del DNI de sus clientes y proveedores, archivándola para su eventual comunicación a las autoridades policiales cuando así se requiera.

- Respecto a la minimización de datos: RECICLAJES LOGROÑO se dedicada al comercio al por mayor de chatarra y productos de desecho. Para recepcionar el material, ha dispuesto recabar de la persona que realiza la entrega una fotocopia del DNI, como ocurrió con la reclamante después de depositar material, con la finalidad de hacer copia y conservar la información para posteriores entregas. La recogida de la fotocopia del documento de identidad del cliente, dispuesta con carácter general por la parte reclamada, con toda la información contenida en ese documento, y cuyo tratamiento puede dar lugar a problemas de usurpación de identidad o fraude, se considera como un tratamiento de datos personales inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento, contrario a los principios de protección de datos.

- Sobre la información al interesado, la reclamante ha presentado dos albaranes que sirven para justificar la transacción comercial entre las partes si bien no es exigible que figure ninguna cláusula legal para cumplir con la normativa de protección de datos como sí ocurre con las facturas. Ahora bien, la reclamada, en el momento de solicitar el DNI para proceder a su fotocopia, no procedió a informar a la parte reclamante sobre ninguno de los aspectos enumerados en el artículo anterior sobre el tratamiento de sus datos personales. No solo no facilita a la parte reclamante ningún tipo de información acerca de los fines del tratamiento a que se destinan los datos personales ni la base jurídica del tratamiento, sino que ni siquiera queda clara la finalidad por la que estos datos personales son requeridos. Si, como se dice la parte reclamada en la contestación al traslado, el objeto de exigir al cliente proveedor su documentación es por la obligatoriedad de compartir estos archivos periódicamente con los cuerpos de seguridad del Estado, tampoco se cita la base legal que determine la licitud del tratamiento.

El reclamante denunció ante la AEPD a TELEFÓNICA MÓVILES ESPAÑA, S.A. (TME), manifestando que perdió el servicio de su línea móvil O2 y posteriormente tuvo conocimiento de que se había producido un cambio de titularidad sin su consentimiento, lo que permitió a un tercero, mediante suplantación de identidad, realizar cargos no autorizados en su cuenta bancaria. Aportó denuncia policial, reclamaciones ante la autoridad competente en telecomunicaciones y ante su entidad bancaria, así como extractos de los movimientos fraudulentos.

Por su parte, TME informó que dispone de protocolos específicos para la gestión de cambios de titularidad y duplicados de tarjetas SIM, tanto por vía telefónica como presencial, basados en la verificación de datos del titular, controles adicionales de seguridad mediante llamadas de comprobación o envío de códigos temporales, y la identificación documental del solicitante. En el caso concreto, reconoció que el cambio de titularidad de la línea se tramitó por vía telefónica y que no se siguió íntegramente la operativa prevista, al omitirse la solicitud de determinados datos de verificación y no realizarse la llamada de comprobación ni el envío de un código de autenticación adicional, pese a que la llamada no se efectuó desde la propia línea afectada. Como consecuencia de dicho cambio previo, el nuevo titular registrado solicitó posteriormente un duplicado de la tarjeta SIM en una tienda física, aportando un documento de identidad escaneado y verificado mediante el sistema interno de la entidad, sin que conste la realización de la comprobación adicional de seguridad prevista en los propios protocolos de TME.

La entidad alegó que el duplicado de la SIM se gestionó conforme a sus procedimientos, que el solicitante se identificó con un documento válido y que el tratamiento de datos se encontraba amparado en la ejecución del contrato, sosteniendo que no se trataron datos del reclamante sino del titular que figuraba en sus sistemas en ese momento. Añadió que dispone de medidas técnicas y organizativas adecuadas, que los hechos se produjeron por un incumplimiento puntual de la operativa por parte de agentes o proveedores, y que no puede imputársele una responsabilidad objetiva por actuaciones aisladas. Asimismo, defendió que, en caso de apreciarse infracción, los hechos constituían una única unidad de acción.

Sin embargo, la AEPD entiende que el cambio de titularidad de la línea se efectuó sin el consentimiento del titular real y sin aplicar los controles de verificación exigidos por los propios protocolos de TME, lo que permitió la modificación de los datos contractuales a favor de un tercero no autorizado. Igualmente, el duplicado de la tarjeta SIM se expidió sin realizar la comprobación adicional destinada a confirmar la identidad y la autorización del titular de la línea, pese al riesgo inherente a este tipo de operaciones. Ambas actuaciones se encuentran directamente vinculadas y derivan del incumplimiento de los procedimientos internos de verificación establecidos por la entidad para garantizar la licitud del tratamiento de los datos personales del abonado.

La reclamante intentó darse de alta como cotitular en una cuenta bancaria de su pareja a través de la web de ING. Ante la imposibilidad de completar el trámite de forma telemática, la entidad le remitió instrucciones para realizarlo mediante el envío físico de documentación. Siguiendo dichas instrucciones, cumplimentó el formulario de alta de nuevo interviniente, que contenía numerosos datos personales propios y de su pareja, incluida copia completa de su DNI, y concertó la recogida a través del servicio de mensajería indicado por ING. La etiqueta de identificación del envío fue remitida por la empresa DYNAMIC EXPRESS COURIER S.L. La recogida se efectuó en el domicilio de la reclamante por un mensajero de TRANSPORTES AUTO-RADIO, S.A., colaboradora de DYNAMIC. Tras la recogida, la reclamante contactó en varias ocasiones con ING para confirmar la recepción de la documentación, recibiendo siempre respuesta negativa. ING abrió una incidencia interna varios días después del primer aviso, constatando que la documentación no había sido recibida por la empresa encargada de la digitalización y archivo. Durante la gestión de la incidencia, ING solicitó información a un proveedor de mensajería distinto del que había realizado la recogida efectiva, y reiteró a la reclamante que remitiera nuevamente la documentación. Paralelamente, la reclamante contactó con las distintas empresas de transporte implicadas, que ofrecieron versiones contradictorias sobre la localización del envío, hasta que finalmente ninguna pudo determinar su paradero. Ante la falta de esclarecimiento, ING comunicó a la reclamante que no había recibido la documentación y le instó a reenviarla, lo que motivó que esta solicitara explicaciones sobre el destino de sus datos personales y presentara denuncia por extravío.

La documentación perdida incluía datos identificativos y de contacto, datos laborales y financieros, firmas manuscritas y copia íntegra del DNI de la reclamante, así como datos identificativos y bancarios de su pareja. ING figuraba como responsable del tratamiento, y DYNAMIC como encargado, en virtud de un contrato de prestación de servicios de recogida documental vigente en el momento de los hechos. Dicho contrato contemplaba medidas de seguridad de carácter general, centradas en la seguridad física e informática, pero no preveía mecanismos específicos de trazabilidad de los envíos ni sistemas de alerta temprana ante retrasos o pérdidas. En sus alegaciones, ING confirmó la cronología esencial de los hechos y reconoció el extravío de la documentación, atribuyéndolo a un error humano puntual en la red de mensajería, ajena a sus procedimientos internos. Sostuvo haber realizado actuaciones para localizar el envío y disponer de evaluaciones de impacto y contratos de encargo conformes al RGPD. No obstante, admitió que no contactó directamente con DYNAMIC hasta meses después, tras la intervención de la autoridad de control, y que no ejercitó acciones contractuales frente a dicha empresa. En este sentido, recuerda la AEPD que corresponde al responsable  verificar que las medidas implementadas por el encargado siguiendo sus instrucciones funcionan, aun cuando ING asegure que los protocolos y procedimientos definidos por la red de mensajería son “responsabilidad exclusiva” de dichas empresas. De la documentación obrante se desprende que ING carecía de un sistema efectivo para conocer qué empresa concreta realizaba cada recogida, para verificar el cumplimiento de los plazos de entrega, y para detectar de forma temprana una posible brecha de datos personales derivada de la pérdida de documentación física.

OASIP Servicio Integral de Comunicaciones interpuso recurso contencioso-administrativo contra la resolución de la directora de la AEPD por la que se le impuso una sanción de 20.000 euros por infracción del artículo 48.1.b) de la Ley General de Telecomunicaciones, en relación con el artículo 23 de la LOPDGDD, al considerarla responsable de no filtrar llamadas comerciales dirigidas a abonados inscritos en sistemas de exclusión publicitaria. En su demanda solicitó la anulación de la resolución sancionadora al sostener que, en los contratos suscritos con Vodafone y las empresas subcontratadas para campañas de mercadotecnia, no asumió el tratamiento de datos necesario para el filtrado de llamadas, careciendo además de la tecnología para ello y limitándose a actuar como centralita técnica de las llamadas efectuadas por terceros.

Consta que VODAFONE encargó a varias empresas campañas de promoción de sus servicios y les impuso contractualmente que las llamadas se realizaran a través de OASIP, que actuaría como centralita. A su vez, las empresas de mercadotecnia contrataron con esta el servicio técnico de centralita. En ninguno de los contratos firmados por OASIP se establecía de forma expresa que asumiera la implantación de un sistema de exclusión publicitaria. En vía administrativa, sin embargo, OASIP reconoció haber convenido con Vodafone colaborar en el filtrado de llamadas, actuando como centralita, y en el expediente constan correos electrónicos de los que se infería dicha asunción, lo que llevó a la AEPD a considerarla Responsable del tratamiento. OASIP modificó posteriormente su estrategia defensiva alegando que carecía de capacidad tecnológica para prestar ese servicio, aportando un informe pericial que no detallaba comprobaciones técnicas concretas sobre dicha carencia.

De lo actuado se desprende que Vodafone mantuvo en todo momento la dirección y control del sistema de exclusión publicitaria, facilitando a OASIP listados con las numeraciones que debían ser excluidas de las campañas (trasunto de la lista Robinson) que eran actualizados periódicamente hasta que dejaron de hacerlo. OASIP no tenía acceso directo a la lista Robinson ni autonomía para decidir sobre los números excluidos, limitándose a ejecutar técnicamente las instrucciones recibidas. Esta operativa evidenciaba que no determinaba ni los fines ni los medios del tratamiento, encajando su actuación en la figura de encargado del tratamiento conforme a los artículos 4.7 y 4.8 del RGPD.

La Audiencia Nacional considera que la resolución sancionadora presentaba contradicciones relevantes sobre hechos esenciales, al afirmar en distintos pasajes que la numeración de la reclamante figuraba en las listas de exclusión desde fechas diferentes, mientras que en la propuesta de resolución se indicaba que no constaba inscrita en la lista interna de Vodafone hasta después de iniciada la reclamación. Dado que OASIP solo podía excluir numeraciones incluidas en los listados que Vodafone le remitía, resultaba determinante conocer cuándo figuró efectivamente el número de la reclamante en dichos listados, extremo que no quedó acreditado. Por tanto, al no demostrarse que OASIP hubiera incumplido las instrucciones del responsable del tratamiento ni se hubiera apartado de ellas, no podía imputársele la responsabilidad por las llamadas indebidas realizadas, procediéndose por ello a la anulación de la resolución impugnada.

La Sala de lo Penal del Tribunal Superior de Justicia de Canarias (TSJC) ha acordado investigar una posible falta a la buena fe procesal de un abogado que presentó un recurso de apelación en el que citaba jurisprudencia e informes oficiales presuntamente generados por herramientas de inteligencia artificial.  La Sala de lo Penal notificó en pasados días la sentencia que confirma la absolución de un vecino de la isla de Tenerife que fue juzgado en julio de este año ante la Sección Segunda de la Audiencia Provincial de Santa Cruz de Tenerife, acusado de agresión sexual.

La sentencia, de la que es ponente el presidente del TSJC, desestima el recurso de la acusación particular contra la absolución, y detecta que el abogado de esta parte incluyó en su recurso diversas citas de jurisprudencia supuestamente “espurias” o “apócrifas”, además de una referencia a un informe del Consejo General del Poder Judicial sobre la credibilidad del testimonio infantil del que, de igual forma, el Tribunal “tampoco tiene constancia de que exista”.

A juicio de la Sala, tales hallazgos “parecen evidenciar una conducta reveladora de la palmaria negligencia de quien, tenido por experto en normas procesales y respetuoso con los principios deontológicos de su profesión, fio su trabajo, sin mayor revisión, a lo que el algoritmo le propuso, omitiendo la diligencia de verificar la existencia de lo que citaba, confiando acaso en que la abundancia de referencias no solo pasaría inadvertida a este Tribunal, sino que infundiría autoridad a sus asertos (probablemente de idéntica factura que las citas)”.

La Sala ordena formar pieza separada “a fin de depurar las responsabilidades en que haya podido incurrir el letrado (…) a tenor de lo dispuesto en el artículo 247, apartados 3 y 4, de la Ley 1/2000 de Enjuiciamiento Civil en relación con los artículos 552 y siguientes de la Ley Orgánica del Poder Judicial” (posible ilícito por vulneración de las reglas de la buena fe procesal, que puede derivar en una multa sin perjuicio, además, de dar traslado de los hechos al colegio profesional respectivo por si pudiera proceder la imposición de algún tipo de sanción disciplinaria).

El Tribunal detectó la cita de, al menos, siete sentencias del Tribunal Supremo “ajenas a cuanto esta Sala ha alcanzado a verificar en las bases de datos disponibles”. Expone que en el texto se encontraron “otras muchas de similar factura” que “constituyen asimismo ejercicio de libérrima creatividad jurídica”, añadiendo que el abogado las “desgrana” a lo largo de su escrito “con soltura y desparpajo”. Igualmente, el Tribunal “tampoco tiene constancia de que exista un informe del Consejo General del Poder Judicial sobre la credibilidad del testimonio infantil de 2019” del que también se extracta un pasaje en el recurso.

Añade el Tribunal que la presunta falta del profesional, “lejos de consistir en un mero desliz o error venial, por su reiteración, merece ser depurada”, por lo que acuerda la formación de pieza separada en la que, previa audiencia del letrado se acordará lo procedente.

El reclamante denunció ante la autoridad de protección de datos sueca una posible infracción atribuida a EXCEL HOTELS and RESORTS, S.A., en relación con la gestión de un complejo hotelero integrado en una comunidad de propietarios en la que la reclamante disponía de una vivienda vacacional. EXCEL HOTELS ejercía funciones de secretario-administrador de la comunidad y, en tal condición, tenía acceso a los datos personales de los propietarios, además de gestionar determinados servicios comunes, entre ellos la seguridad, subcontratada a una empresa privada que actuaba como encargada del tratamiento. Tras el cierre del complejo y la implantación de controles de acceso, el personal de seguridad utilizaba listados impresos con información de propietarios y usuarios, que incluían, entre otros datos, nombre y apellidos, número de apartamento, país, DNI o pasaporte y, en algunos casos, régimen de alojamiento. Según la reclamación, dichos listados se dejaban de forma habitual a la vista y sin custodia adecuada, incluso con puertas abiertas, permitiendo que terceros accedieran visualmente a la información y llegaran a fotografiarla. Se aportaron fotografías de varias planillas grapadas, correspondientes a decenas de personas físicas y jurídicas, en las que constaban los citados datos identificativos.

Requerida la información, EXCEL HOTELS manifestó que el control de accesos se realizaba para cumplir obligaciones legales y de seguridad, que el servicio estaba externalizado a una empresa de seguridad privada y que esta actuaba como encargada del tratamiento siguiendo sus instrucciones. Reconoció la existencia de un incidente de seguridad derivado de un descuido del personal de vigilancia, que habría permitido a terceros fotografiar los listados, aunque lo calificó como de riesgo bajo y lo registró internamente sin comunicarlo como brecha a la autoridad ni a los afectados. Indicó que, con carácter general, los listados se custodiaban en carpetas cerradas y se depositaban en una garita con acceso restringido, y que tras el incidente se revisaron los protocolos, se reforzaron las instrucciones al personal, se nombró un delegado de protección de datos externo y se planificaron auditorías y medidas organizativas adicionales. Aportó diversa documentación contractual, actas de la comunidad, registros de actividades de tratamiento y evaluaciones internas, sin detallar medidas concretas específicas para la custodia física de los listados en papel.

Por su parte, la empresa de seguridad declaró no haber tenido conocimiento previo de ninguna brecha, afirmó que los listados eran entregados diariamente por personal de la comunidad, que permanecían bajo el control del vigilante durante el turno y que no se mostraban a terceros, actuando siempre conforme a las instrucciones del responsable del tratamiento. Indicó que su personal estaba sujeto a deberes de confidencialidad y formación específica y aportó una descripción genérica de medidas de seguridad aplicables a la documentación en soporte papel.

Analizada la documentación aportada, la AEPD considera acreditado que EXCEL HOTELS, como responsable del tratamiento y administrador de la comunidad, y su encargado de tratamiento permitieron que listados con datos personales de clientes alojados y propietarios quedaran accesibles a terceros, produciéndose una pérdida de confidencialidad. No constó la implantación previa de medidas técnicas y organizativas concretas y eficaces para evitar la exposición visible de dicha documentación, pese a la naturaleza de los datos tratados y al contexto del tratamiento, sin que en ninguno de los documentos aportados se detallara las medidas concretas para la debida custodia en aras a garantizar su confidencialidad de los datos personales contenidos en los listados de clientes alojados ni en los listados de los miembros de la Comunidad de Propietarios

La reclamante denuncia ante la AEPD a MONUMENTAL FORMA SPORT, S.L. (FORMA) por el tratamiento de datos personales exigido para acceder a una promoción consistente en un día de acceso gratuito a uno de sus gimnasios. En concreto, expuso que para beneficiarse de dicha promoción en el centro de Ruzafa (Valencia), FORMA exige la cumplimentación de un formulario con la aportación de diversos datos personales, la aceptación de condiciones generales, normas de utilización y política de privacidad, y que, en una fase posterior del proceso, se solicita además la introducción de datos bancarios, pese a tratarse de un servicio ofertado como gratuito. La reclamación se acompañó del formulario utilizado para la inscripción, presentado bajo el título “Introduzca sus datos personales”, en el que determinados campos aparecen marcados como obligatorios. Entre los datos requeridos figuran documento de identidad, fecha de nacimiento, sexo, nombre y apellidos, código postal, correo electrónico, verificación del correo electrónico y número de teléfono móvil. Asimismo, el formulario obliga a marcar la aceptación de las condiciones generales de compra online, las normas de utilización del gimnasio y la política de privacidad. De forma adicional, se solicita al usuario que otorgue o deniegue su consentimiento expreso para tres finalidades diferenciadas: actividades de marketing e información comercial, incluida la elaboración de perfiles; cesión de datos a terceros; y compartición de imágenes en redes sociales. El proceso se completa pulsando el botón de validación. Pese a haber dado traslado a FORMA para que informara sobre los hechos y presentara alegaciones, no se recibió respuesta alguna.

Con motivo de las actuaciones de investigación, la AEPD comprobó directamente el procedimiento establecido en la página web de FORMA para la obtención del pase gratuito. El proceso consta de varias fases: selección de la promoción “1 día gratis” asociada a la cuota “PASE GRATUITO WEB 0,00 euros”; cumplimentación del formulario con los datos personales indicados y aceptación de las condiciones y políticas; visualización de un resumen del registro; y, finalmente, una fase de validación en la que se solicitan datos de pago, concretamente número de tarjeta bancaria, titular y código de verificación. En una comprobación posterior, se constató que la promoción se ofrece para un total de catorce centros de la cadena FORMA y que, con independencia del centro seleccionado, el proceso de inscripción y la solicitud de datos personales y bancarios es idéntico. De las actuaciones practicadas se desprende que FORMA condiciona el acceso a una promoción gratuita de un día de gimnasio a la aportación obligatoria de datos personales identificativos, de contacto y financieros, incluyendo datos de tarjeta bancaria. Conviene precisar que, hasta ese momento, el potencial cliente no mantendría ningún vínculo contractual previo con FORMA, limitándose su interés a la obtención de un pase promocional mediante la formalización del contrato correspondiente a la prestación de ese servicio concreto. No obstante, para poder beneficiarse de ese día gratis en alguno de los gimnasios de FORMA, esta requiere la aportación de datos personales que exceden de los necesarios para la formalización del contrato correspondiente a la prestación del servicio de gimnasio sin coste durante un día. Así, entre los datos exigidos de manera obligatoria se encuentren datos de carácter financiero, como los relativos a la tarjeta de crédito de los potenciales clientes, cuando, tal y como se concibe la promoción, esta tiene carácter gratuito. Por otra parte, resultan excesivos otros de los datos exigidos de manera obligatoria como el “sexo” o el “código postal” del potencial cliente.

Se presentó reclamación ante la AEPD contra DIGI SPAIN TELECOM, S.L. por un presunto caso de “SIM swapping”, consistente en la duplicación fraudulenta de la tarjeta SIM de la parte reclamante, lo que permitió el acceso a sus cuentas bancarias. El reclamante alegó que, pese a residir en una localidad determinada, el duplicado se realizó en un distribuidor de DIGI situado en otra localidad. Aporta como prueba una denuncia policial en la que relata que, tras quedarse sin servicio en su línea móvil, contactó con DIGI y le informaron de la duplicación de la tarjeta, procediendo a cancelar la línea y dar de alta una nueva, y detalla cargos, préstamos y transferencias no autorizadas en sus cuentas bancarias. En la investigación, DIGI indicó que la solicitud de duplicado se realizó en un distribuidor presencial, donde se recabó y copió el documento de identidad del solicitante, y que los protocolos de seguridad exigían la verificación del titular. La entidad sostuvo que, salvo prueba en contrario, el duplicado fue solicitado por el titular y entregado a una persona que se identificó como tal, ya que el distribuidor y el back-office no detectaron indicios de fraude. La inspección comparó la copia del DNI aportada en la solicitud con los datos del reclamante y constató coincidencia en varios campos, salvo el nombre de los padres. DIGI aportó además capturas de pantalla de la solicitud y grabaciones de llamadas en las que el solicitante se identificaba con nombre, DNI y número de línea, y se le informó del envío de SMS de confirmación al número de contacto facilitado, distinto del número afectado. También se aportaron registros de comunicaciones con el reclamante y anotaciones internas relativas a la baja de la línea, apertura y cierre de tickets, y envío de justificantes y datos del punto de venta tras la denuncia.

DIGI explicó que, tras detectar el incidente, se procedió a gestionar el duplicado para recuperar la línea, darla de baja, recomendar la denuncia penal, iniciar protocolo de fraude e investigar el hecho, contactando con el distribuidor que confirmó haber seguido los protocolos y no observar indicios de fraude. Asimismo, se verificó que el número de contacto no estaba vinculado a otros fraudes, se remitieron al reclamante datos del punto de venta, se incorporó una palabra clave en su perfil y se implementaron nuevos protocolos y medidas de prevención y atención al fraude.

La entidad aportó el protocolo de duplicado SIM vigente en el momento de los hechos, y alegó que sus medidas de seguridad eran avanzadas y que el fraude se debió a la sofisticación de los defraudadores, quienes disponían de datos y documentos del reclamante. También defendió que el error no puede ser sancionable por sí mismo y criticó la postura de la AEPD sobre las medidas de identificación, aportando informes y noticias sobre el uso del DNI, si bien la AEPD consideró que dichos documentos no resultaban aplicables al caso.

En cuanto al análisis jurídico, se considera que DIGI emitió un duplicado de tarjeta SIM y lo entregó a un tercero no autorizado sin intervención ni consentimiento del titular, lo que constituye un tratamiento de datos personales sin base jurídica válida. Se entiende que la verificación de identidad fue insuficiente, al no existir garantías de que el solicitante fuera el titular, no conocerse el motivo de la emisión ni comprobarse la necesidad del duplicado, cuando la tarjeta original estaba activa. La entidad no demostró diligencia preventiva suficiente ni medidas eficaces para detectar el fraude, y trasladó la responsabilidad al agente del distribuidor, pese a que el control sobre la veracidad de la solicitud corresponde al responsable del tratamiento. Por tanto, se concluye que la emisión y entrega del duplicado sin base legitimadora constituye una infracción del artículo 6.1 del RGPD.

La Dirección General de la Policía (DGP) notificó a la Agencia Española de Protección de Datos una brecha de seguridad en un registro automatizado de la plataforma ***PLATAFORMA.1, que podría comprometer datos de identificación necesarios para autenticación. En la notificación inicial se indicaba que la brecha afectaba a datos básicos, DNI/NIE, pasaporte u otros documentos identificativos de diez personas. Posteriormente, la DGP amplió la notificación, describiendo que se había limitado el acceso al dominio afectado y que, tras un análisis de riesgo, se detectó la presencia de webshells en uno de los servidores de la plataforma, con evidencias de explotación desde agosto de 2022 hasta marzo de 2023. La brecha habría afectado a datos como nombre, apellidos, DNI/NIE, fecha de nacimiento, número de soporte, fechas de emisión y validez, teléfono y nacionalidad, y se indicó que se estaba estudiando el listado de usuarios afectados. La DGP informó que la indisponibilidad del sistema se prolongó mientras se migraba la infraestructura, y que el sistema comprometido se encontraba en fase de análisis forense, a la espera de informe definitivo. Además, se aportó un informe técnico de una empresa externa sobre el posible impacto en el acceso a datos personales y la posible suplantación de identidad.

Las actuaciones de investigación revelaron que el incidente se detectó tras la publicación en foros de la dark web de la venta de una consola web remota vinculada a la sede electrónica de la Policía, lo que motivó la interrupción del servicio afectado. Las investigaciones posteriores identificaron la instalación de tres webshells en el servidor comprometido, confirmando la explotación de vulnerabilidades existentes. La DGP explicó que los intentos de explotación se extendieron desde agosto de 2022, aunque las limitaciones de almacenamiento de registros impidieron descartar un inicio anterior. En el análisis del impacto, la DGP señaló que no se pudo confirmar ni descartar el acceso o exfiltración de datos personales, por lo que elaboró un informe de escenarios posibles y potencial impacto, incluyendo el peor escenario en el que podrían haberse expuesto datos como nombre, apellidos, DNI/NIE, fechas de expedición y caducidad, número de soporte, teléfono y nacionalidad. La revisión de logs no mostró accesos no autorizados, pero no se descartó el compromiso de contraseñas internas que podrían permitir suplantación en operaciones de autenticación. La indisponibilidad del servicio afectó a múltiples acciones del sistema, y la DGP no comunicó la brecha a los interesados por no poder determinar usuarios afectados.

En relación con las medidas de seguridad, la DGP aportó información sobre procedimientos y protocolos previos al incidente, aunque no facilitó copias completas de los documentos, y reconoció que las actualizaciones del servidor vulnerable eran responsabilidad de Policía Nacional y que el protocolo de actualización no estaba documentado por escrito. Se señalaron insuficiencias en las medidas de seguridad previas, así como carencias en monitorización y detección, evidenciadas por la detección tardía del incidente tras la publicación en la dark web y por la presencia de webshells sin detección. La DGP describió medidas técnicas y organizativas adoptadas tras el incidente, incluyendo acciones de actualización y un plan de verificación de vulnerabilidades, así como mejoras en el inventario de activos y en la gestión de incidentes. La DGP también aportó evidencia sobre la venta de acceso al servidor vulnerado en foros underground, aunque afirmó no tener conocimiento de uso de datos personales por terceros. En sus alegaciones, la DGP se centró en las medidas correctivas implementadas y cuestionó la existencia de incumplimiento total del artículo 32 del RGPD, si bien reconoció que algunas medidas eran insuficientes y se actualizaron de forma diligente. La Agencia destacó que la evaluación de la suficiencia de las medidas de seguridad debe realizarse ex ante, en el momento de la brecha, y que las mejoras posteriores no eximen de responsabilidad.

Por parte de A.A.A. se presentó reclamación ante la AEPD contra IDCQ HOSPITALES Y SANIDAD, S.L.U., exponiendo que acudió a un hospital del grupo para realizarse una resonancia magnética y que, a tal efecto, aportó un CD con pruebas de resonancias anteriores realizadas en otros centros. Dichas imágenes fueron utilizadas para la comparación clínica y constan referenciadas en el informe médico emitido tras la prueba. Transcurridos algunos meses, el reclamante acudió al hospital para recuperar el CD aportado, siendo informado de que no se encontraba disponible. Posteriormente recibió comunicación escrita del hospital en la que se le indicaba que la documentación, incluidas las pruebas previas aportadas, había sido eliminada debido a limitaciones de archivo y a la existencia de un plazo para su recogida. Ante el requerimiento de información de la AEPD, IDCQ señaló que el paciente firmó una hoja de recogida en la que se indicaba que el plazo para retirar las pruebas era de un mes, y que, al no haberse recogido en dicho plazo, el soporte fue destruido. Sostuvo que las imágenes aportadas no formaban parte de la historia clínica, al no haber sido incorporadas por decisión del facultativo, quien únicamente incluyó en la historia clínica la información que consideró clínicamente relevante mediante un informe. Afirmó que las imágenes procedían de otros centros y no constituían documentación clínica generada por el hospital, por lo que no resultaban aplicables las obligaciones de conservación previstas en la Ley 41/2002. Añadió que el único tratamiento lícito de dichos datos fue su visualización para la elaboración del informe médico y que cualquier conservación posterior carecería de base jurídica conforme a los principios de minimización y limitación del plazo de conservación. Indicó asimismo que disponía de procedimientos internos sobre diagnóstico por imagen, custodia de historias clínicas, atención de derechos de protección de datos y gestión de soportes, y que, pese a considerar correcta su actuación, había revisado y reforzado dichos procedimientos. Analizado los hechos, la Agencia considera que se produce una triple vulneración de la normativa de protección de datos:

- Respecto al tratamiento de datos sensibles, IDCQ realizó una operación de tratamiento consistente en la supresión definitiva de datos de salud aportados por el paciente en un soporte físico, sin que concurriera ninguna de las excepciones previstas en el artículo 9.2 del RGPD que levantaran la prohibición general de tratamiento de categorías especiales de datos personales. Las imágenes contenidas en el CD constituían datos de salud y habían sido utilizadas en el proceso asistencial, constando su comparación en el informe médico emitido tras la resonancia. Pese a ello, procedió a su eliminación invocando un plazo interno de recogida y limitaciones de archivo, sin atender al deber legal de conservación de la documentación clínica impuesto por la Ley 41/2002.

- En relación a la licitud del tratamiento, la supresión de los datos personales se llevó a cabo sin que constara ninguna de las bases jurídicas previstas en el artículo 6.1 del RGPD que legitimaran dicha operación de tratamiento. La destrucción del soporte se justificó exclusivamente en criterios organizativos internos y en la falta de recogida por parte del paciente dentro del plazo indicado, pese a que la normativa sanitaria impone a los centros la obligación de custodiar la documentación clínica durante el tiempo legalmente establecido.

- Finalmente, la inexistencia de un procedimiento adecuado y específico para la gestión integral de la documentación clínica aportada por los pacientes en soportes físicos, que contemplara de forma coherente su recepción, utilización, custodia, conservación y eventual devolución, muestra una falta de previsión organizativa sobre estas operaciones de tratamiento, evidenciando el incumplimiento de las obligaciones de responsabilidad proactiva y de protección de datos desde el diseño y por defecto.

Con motivo de la sustracción del ordenador portátil de la directora pedagógica del centro educativo, el COLEGIO NUESTRA SEÑORA DE LA CARIDAD DEL COBRE notificó a la AEPD una brecha de seguridad, producida el mismo día de su detección. El equipo contenía datos personales de aproximadamente 450 personas, incluidos unos 150 menores, relativos a datos identificativos de padres, madres y tutores legales, así como datos del expediente académico del alumnado, entre ellos datos de salud. El dispositivo no estaba cifrado, si bien contaba con bloqueo de pantalla y la sesión se encontraba cerrada en el momento del incidente.

A raíz de la notificación, la Agencia acordó la realización de actuaciones previas de investigación. De la información aportada por el centro se desprende que utiliza una plataforma educativa externa para la gestión académica y la comunicación con las familias, y que disponía de diversa documentación interna en materia de protección de datos, incluyendo análisis de riesgos, medidas de seguridad, protocolos de gestión de incidencias, cláusulas de confidencialidad y acciones formativas para el personal. El centro manifestó que se trataba del primer incidente de estas características y que el suceso obedeció a un error humano, al haberse ausentado la responsable de su despacho sin cerrarlo con llave.

En sus alegaciones, el centro sostuvo que contaba con medidas técnicas y organizativas suficientes, tales como el bloqueo automático de dispositivos y aplicaciones, controles de acceso a las instalaciones, centralización de la información en la plataforma educativa y actuaciones inmediatas tras el incidente, como el cambio de contraseñas y la realización de una auditoría que no evidenció accesos indebidos a los datos. Asimismo, defendió que el riesgo de la brecha era bajo y que, por ello, no procedía inicialmente la comunicación a los afectados, destacando su colaboración con la Agencia y la adopción posterior de medidas adicionales de refuerzo, incluyendo formación obligatoria, circulares internas, recordatorios de procedimientos y una comunicación ampliada de la brecha. Asimismo, recuerda la AEPD que el art. 32 sanciona por la ausencia o insuficiencia de medidas de seguridad, independientemente de si se ha producido o no la pérdida de confidencialidad, integridad o disponibilidad Tras el análisis de las actuaciones y de las alegaciones, la Agencia determinó que, en el momento del incidente, no se habían implementado medidas técnicas y organizativas suficientes para garantizar un nivel de seguridad adecuado al riesgo, en particular en relación con la protección física de los equipos, el control de accesos a las instalaciones y la consideración del factor humano como riesgo inherente al tratamiento, pues no estaba impuesta la obligación de cerrar los despachos cuando la persona autorizada estuviera ausente, aunque no fuera el término de la jornada laboral.

De otra parte, la comunicación de la brecha a los interesados no se realizó sin dilación indebida, pese a afectar a datos personales de menores y a datos de salud, y que no concurrían las condiciones previstas en la normativa para eximir de dicha obligación, al no haberse aplicado medidas como el cifrado que hicieran ininteligibles los datos, notificación que sólo se realizó de forma posterior a requerimiento de la AEPD. La comparación con otros expedientes archivados no se consideró aplicable por la falta de identidad entre los hechos y las circunstancias concurrentes.

A.A.A. denunció ante la AEPD contra CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO, S.A.U., al recibir en su correo electrónico personal comunicaciones dirigidas a otra persona, en las que se incluían datos personales ajenos, tales como nombre y apellidos, dirección, número de cliente, número y referencia de factura, así como información relativa a la existencia y cuantía de una deuda. El reclamante manifestó no conocer a dicha persona y puso de relieve la indebida revelación de información personal, aportando copias de varios correos electrónicos recibidos en los que se informaba de impagos y de la resolución de incidencias asociadas a un suministro distinto del suyo. En el curso de las actuaciones, CURENERGÍA reconoció que la recepción de dichas comunicaciones se debió a un error puntual en la actualización de la ficha de un cliente por parte de personal de un canal colaborador, que atribuyó erróneamente al tercero la dirección de correo electrónico del reclamante mientras atendía de forma simultánea a dos usuarios a través del canal de atención por chat. Como consecuencia de ese error, el sistema remitió al reclamante correos destinados al otro cliente. La entidad indicó que, tras tener conocimiento de la incidencia, procedió a desvincular el correo electrónico del reclamante de la ficha incorrecta y le informó de la subsanación. Del análisis de la documentación se desprende que el canal de atención mediante chat permitía la atención simultánea de hasta dos clientes por un mismo agente y que durante el periodo analizado se produjeron miles de interacciones por dicho medio, que posteriormente fue suprimido. Asimismo, quedó acreditado que en el momento de los hechos no existían procedimientos o medidas específicamente orientados a prevenir, detectar o corregir de forma automática errores de asignación de datos de contacto entre distintos clientes, como mecanismos eficaces de verificación de la correspondencia entre correo electrónico y titular o alertas tempranas ante duplicidades relevantes.

En este supuesto, de la documentación obrante en el expediente se evidencia que la parte reclamada no ha aplicado el principio de protección de datos desde el diseño. En primer lugar, de la información facilitada en su escrito de contestación al traslado de la reclamación reconoce que hubo un error de uno de sus agentes, encargado del canal de actualización de datos, que solicitó y actualizó los datos personales de dos clientes a los que estaba atendiendo simultáneamente y registró erróneamente los datos del del reclamante (A.A.A.) y los de otro cliente (B.B.B.). CURENERGIA reconoce que se registraron mal los datos de B.B.B., al incluir la dirección de correo electrónico del reclamante en su ficha en lugar del correo electrónico de éste, y como consecuencia de ello, se remitió al reclamante el correo electrónico de 2 de agosto de 2023 dirigido a B.B.B. con los datos de este último.

Si bien inicialmente se consideró que los hechos podrían constituir una infracción del artículo 5.1.d) del RGPD (principio de exactitud de los datos personales), una vez realizada y concluida la instrucción y a la vista conjunta de toda la documentación obrante en el expediente en este momento procedimental de propuesta de resolución, se considera que los hechos se ajustan a la vulneración del art. 25 RGPD (privacidad desde el diseño), pues se trata de una infracción sistémica de los procedimientos de registro y actualización de los datos de contacto implantados por CURENERGÍA, de los que se deriva un alto riesgo de generar inexactitudes cometidas por los agentes que registren los datos personales de más de un cliente al mismo tiempo (denominadas como “error humano” por la misma). Riesgo que no viene acompañado de procedimientos efectivos que permitan detectar y corregir las inexactitudes antes de que produzcan un mayor impacto en los interesados, siendo altamente susceptibles de derivar en posibles comunicaciones de datos personales no autorizadas a otros clientes, como ha sucedido en el supuesto presente.

La reclamante puso en conocimiento de la autoridad de control que, durante la estancia en un alojamiento turístico contratado a través de la plataforma Airbnb, el propietario del inmueble les remitió, por medio de una intermediaria y a través de WhatsApp, grabaciones de vídeo e imágenes obtenidas mediante una cámara instalada en el inmueble, sin que hubieran sido informados previamente de su existencia ni constara cartelería visible que advirtiera de la presencia del sistema de videovigilancia. Las imágenes correspondían a zonas comunes del alojamiento, como la piscina y la zona de barbacoa, desconociéndose si se captaba también sonido. La parte reclamante aportó capturas de las grabaciones recibidas, así como imágenes de la cámara, su ubicación y orientación, en las que se aprecia a los propios inquilinos.

La reclamada presentó alegaciones en las que negó la orientación de la cámara hacia las zonas de piscina o hacia el alojamiento alquilado, afirmando que el dispositivo estaba dirigido exclusivamente a la entrada de su vivienda personal y que, además, no podía acceder al registro electrónico de la Agencia.

Del análisis de las actuaciones y de la documentación aportada se consideró acreditada la inexistencia de cartelería informativa que advirtiera de la presencia de cámaras de videovigilancia y de la forma de ejercer los derechos reconocidos por la normativa de protección de datos. Con base en ello, se apreció un incumplimiento del deber de información previsto en el artículo 13 del RGPD y se formuló propuesta de sanción económica.

La AEPD recuerda que, una vez alquilada la vivienda, esta deja de constituir un ámbito estrictamente privativo, cediéndose su uso y disfrute temporal a los arrendatarios, quienes deben poder desarrollar su estancia sin intromisiones ilegítimas. En consecuencia, la instalación de cámaras exteriores vinculadas al acceso al inmueble exige informar de forma clara y visible a los usuarios durante el periodo de alquiler.

Si bien en este caso las imágenes aportadas no proceden del interior del inmueble, sino de la zona de acceso a la vivienda principal (lo que permite inferir que la cámara estaba instalada con una finalidad de seguridad), no consta acreditada la existencia de información previa ni de carteles visibles que advirtieran de la presencia del sistema de videovigilancia.

La Dirección Provincial de A Coruña de la Inspección de Trabajo y Seguridad Social emitió Acta de Infracción a Cibernos BPO, S.L., imponiéndole sanción en grado medio de 1.501 € por vulneración del artículo 7.5 del Texto Refundido de la Ley sobre Infracciones y Sanciones en el Orden Social, al transgredir las normas sobre jornada, descansos y derecho a la desconexión digital. Tras la formulación de alegaciones por la empresa, se recabó informe de ITSS, se emitió propuesta de resolución y, finalmente, la Jefatura Territorial de la Consellería de Emprego, Comercio e Inmigración confirmó la sanción. La empresa interpuso recurso de alzada, desestimado por la Dirección General de Relaciones Laborales de la Xunta de Galicia.

Cibernos BPO, S.L., comunicó a sus trabajadores la realización de un curso obligatorio de formación en acoso laboral, a impartirse por videoconferencia entre el 9 de abril y el 9 de mayo, notificando el día 5 de abril de 2024, a las 18:00 horas, la asignación de fechas y horarios. Dieciocho trabajadores asistieron al primer curso el 9 de abril de 15:00 a 17:00 horas. Los horarios ordinarios de los distintos colectivos de la empresa variaban de lunes a sábado, en franjas entre las 8:00 y las 20:00 horas, y algunos trabajadores tenían jornada más corta o parcial. El acto de infracción, respaldado por la documentación aportada por la empresa y por los correos electrónicos de notificación, evidencia que la comunicación del curso se efectuó fuera de la jornada ordinaria y sin respetar el plazo de preaviso mínimo de cinco días previsto en el artículo 34.2 del Estatuto de los Trabajadores, aplicable al cómputo según el derecho común (art. 5 CC y 133 LEC). Al iniciar el curso el 9 de abril, el plazo legal no se había cumplido, constituyendo incumplimiento de las obligaciones de la empresa y vulneración del derecho a la desconexión digital, reconocido en el artículo 88 de la LOPDGDD y en el artículo 20.bis ET, garantizando el respeto a los tiempos de descanso, intimidad personal y familiar, y ausencia de obligación de revisar correos fuera de jornada.

La formación obligatoria altera la distribución de la jornada, al efectuarse fuera del horario ordinario, constituyendo distribución irregular sujeta a compensación con descanso. La infracción es grave, conforme al artículo 7.5 LISOS, por transgresión de normas sobre jornada, descansos y desconexión digital, considerando el número de trabajadores afectados (18) para graduar la sanción en grado medio. La empresa alegó que la infracción era leve por tratarse solo de incumplimiento formal del preaviso; sin embargo, la concurrencia del incumplimiento del derecho a la desconexión digital eleva la gravedad de la conducta.

Los hechos declarados probados se deducen de la prueba documental y de la presunción de certeza de las actas de la Inspección de Trabajo y Seguridad Social, conforme al artículo 151.8 LRJS y doctrina consolidada del Tribunal Supremo y del Tribunal Superior de Justicia de Galicia. La empresa no aportó prueba que desvirtúe la presunción de certeza respecto al envío del correo el 5 de abril de 2024 a las 18:00 horas ni sobre los horarios de los trabajadores afectados. En consecuencia, la sanción impuesta se ajusta a derecho, desestimándose la impugnación de Cibernos BPO, S.L., conforme a los criterios de tipificación y graduación de la LISOS, sin posibilidad de recurso de suplicación al no superar el límite económico previsto.

La Audiencia Provincial de Badajoz, Sección Primera, dictó sentencia en procedimiento abreviado en la que se declaró probado que Teodoro, auxiliar administrativo en urgencias del Hospital Universitario de Badajoz, personal estatutario del Servicio Extremeño de Salud (SES) y sin antecedentes penales, accedió reiteradamente entre 2017 y 2022 al sistema JARA Asistencial sin autorización, con el fin de conocer datos médicos de su cuñado Juan Ignacio, su esposa Rosa y sus hijos Paloma y Bruno, tras romper relaciones familiares en 2017. Los accesos indebidos se realizaron mediante los módulos de “gestión del paciente” y “agenda del paciente”, contabilizándose 105 entradas sobre Juan Ignacio, 171 sobre Paloma, 72 sobre Bruno y 33 sobre Rosa. Juan Ignacio y Paloma tenían antecedentes psiquiátricos, siendo seguidos en Salud Mental. Los accesos provocaron daño moral, frustración e impotencia en los afectados. En el fallo, la Audiencia condenó a Teodoro por cuatro delitos continuados de descubrimiento y revelación de secretos cometidos por funcionario público, imponiendo tres años y tres meses de prisión por cada delito, inhabilitación especial para sufragio pasivo durante la condena, multa de veintiún meses a razón de ocho euros diarios y seis años de inhabilitación absoluta, así como costas procesales. Se estableció responsabilidad civil de seis mil euros por daños morales a Juan Ignacio, Rosa y Paloma, con responsabilidad subsidiaria del SES. La sentencia fue recurrida por el acusado alegando error en la valoración de la prueba, infracción de normas penales y constitucionales, falta de motivación en la individualización de la pena y exceso en la cuantía de la responsabilidad civil, solicitando la absolución, reducción de delitos, disminución de la multa y reducción de la indemnización. La acusación particular y el Ministerio Fiscal se opusieron, solicitando la confirmación de la sentencia.

El Tribunal Superior de Justicia de Extremadura revisó la valoración probatoria de la Audiencia, confirmando que la prueba practicada, tanto directa como indiciaria, fue suficiente para desvirtuar la presunción de inocencia. Se constató el acceso masivo de Teodoro al sistema JARA, la ausencia de consentimiento de los denunciantes y la relación de los accesos con la ruptura familiar motivada por la disolución de la sociedad empresarial de Juan Ignacio. Se descartó la alegación de que los accesos fueron autorizados o solicitados por los denunciantes. La prueba documental, audiovisual y testifical, incluyendo informes periciales del SES y psicológicos, acreditó que los datos accedidos eran sensibles y lesivos.

Se confirmó que cada víctima genera un delito continuado independiente, conforme al artículo 74 del Código Penal, y que la agravante de condición de funcionario público es aplicable. La individualización de la multa y la extensión de la pena se consideraron adecuadas, atendiendo a los límites legales y a los ingresos del condenado. Asimismo, se ratificó la responsabilidad civil por daño moral. En consecuencia, el Tribunal desestimó el recurso de apelación, confirmando íntegramente la sentencia recurrida, convalidando la condena por los cuatro delitos continuados, las penas accesorias y la indemnización civil fijada.

El Tribunal Supremo ha resuelto el recurso de casación interpuesto por varios acusados y sociedades implicadas en una trama de solicitudes fraudulentas de devoluciones tributarias ante la Agencia Estatal de Administración Tributaria (AEAT). Los recurrentes, actuando de forma concertada y utilizando las sociedades DIRECCION000 y STAR ATHLETES SOCIETY S.L., presentaron solicitudes de devolución de impuestos en nombre de deportistas profesionales extranjeros que habían jugado en España, sin conocimiento de estos, empleando documentación falsa y poderes de representación inexistentes. Las devoluciones, que ascendieron a más de seis millones de euros, fueron ingresadas en cuentas bancarias controladas por los acusados y sus sociedades, sin que los legítimos titulares recibieran las cantidades reclamadas. La funcionaria Zulima, jefa adjunta en la AEAT y ex cónyuge de uno de los acusados, accedió de forma irregular a información confidencial de la Agencia, facilitando datos esenciales para la preparación de las solicitudes fraudulentas.

Las defensas alegaron vulneración de la presunción de inocencia, insuficiencia de la prueba indiciaria, ausencia de perjuicio patrimonial y negligencia de la AEAT en la verificación de la documentación. Argumentaron que las cantidades estaban a disposición de los deportistas y que no existió dolo ni concierto previo entre los acusados. Se plantearon cuestiones procesales relativas a la correlación entre acusación y fallo, indefensión por cambios en las conclusiones del Ministerio Fiscal y la calificación jurídica de los hechos. La acusación particular solicitó la aplicación de delitos de apropiación indebida y usurpación del estado civil, reclamando la condición de perjudicados directos para los deportistas.

El Tribunal Supremo, tras analizar los recursos, confirmó la valoración probatoria realizada por la Audiencia Provincial y el Tribunal Superior de Justicia, destacando la existencia de una trama organizada para defraudar a la Hacienda Pública. Consideró suficiente y racional la prueba indiciaria, basada en informes periciales, documentación bancaria y testimonios, y rechazó los argumentos defensivos sobre la falta de perjuicio, la negligencia administrativa y la ausencia de dolo. El Tribunal subrayó que la responsabilidad penal no queda neutralizada por eventuales deficiencias en los controles de la AEAT, ni por la supuesta disponibilidad de las cantidades para los deportistas, ya que los acusados nunca fueron apoderados ni actuaron en beneficio de los legítimos titulares. Además, la Sala enfatizó que la falsedad documental no requiere necesariamente la autoría material directa, sino que basta la intervención concertada en la elaboración o utilización de los documentos falsos. Respecto al uso de información privilegiada, el Tribunal consideró probado que Zulima, por su cargo en la AEAT, accedió y facilitó datos reservados que permitieron la ejecución del fraude, y que la protección de estos datos es un bien jurídico autónomo, independiente del perjuicio patrimonial causado.

El Supremo también rechazó la pretensión de la acusación particular de calificar los hechos como apropiación indebida o usurpación del estado civil, y confirmó que la víctima directa del delito es la Hacienda Pública, no los deportistas, quienes mantienen intacto su derecho a reclamar las devoluciones por vía administrativa. La Sala recordó que el recurso de casación no permite una nueva valoración de la prueba practicada en la instancia, sino únicamente la fiscalización del proceso motivacional de las sentencias recurridas, y que la existencia de versiones alternativas o informes periciales de parte no desvirtúa la solidez de la prueba de cargo apreciada por los tribunales de instancia y apelación.

D. Jesús María prestaba servicios desde 2014 para TASUBINSA como responsable de turno, Grupo 4, en el Centro Especial de Empleo de Burlada, percibiendo 84,08 euros/día. El convenio aplicable era el propio extraestatutario. Por carta de despido disciplinario se le comunicó la extinción de la relación laboral por comisión de falta muy grave, consistente en conductas de acoso sexual hacia las trabajadoras Julieta (discapacidad intelectual), Josefa (discapacidad auditiva) y Adela (discapacidad intelectual), de las que era superior jerárquico, en base al artículo 40.c)18 del convenio, tras informe de la Comisión contra el acoso sexual del centro. La investigación, motivada por denuncia de Josefa, concluyó que existían indicios de acoso sexual consistentes en tocamientos, envío de fotos y mensajes, comentarios sexuales y proposiciones sexuales, afectando de manera continuada y aprovechando la posición jerárquica del demandante. El 13 de octubre, el trabajador se entrevistó con la Comisión, negando los hechos, y conoció el contenido del informe, sin recibir copia del mismo. La denuncia penal de Josefa derivó en sentencia condenatoria por delito de acoso sexual en el ámbito laboral, imponiendo multa, indemnización y prohibiciones de acercamiento y comunicación.

El Juzgado de lo Social n.º 3 de Navarra desestimó la demanda de nulidad o improcedencia del despido interpuesta por el trabajador y declaró procedente el despido, absolviendo a la empresa de las pretensiones deducidas en su contra. La carta de despido incluía descripción pormenorizada de conductas y víctimas, así como el momento inicial de la investigación, cumpliendo con los requisitos del artículo 55.1 ET y del convenio colectivo, facilitando al trabajador conocimiento suficiente de los hechos y posibilidad de defensa. El recurrente alegó incumplimiento del protocolo interno de acoso sexual, en cuanto a información y entrega de copia de la denuncia, y vicios en la carta de despido; sin embargo, quedó acreditado que fue informado de los hechos imputados y que no se produjo indefensión, dado que decidió no formular alegaciones para no perjudicar su defensa en el procedimiento penal. Se acreditó que el acoso sexual, consistente en comportamientos físicos y verbales no deseados, generó un ambiente laboral hostil y afectó a trabajadoras con discapacidad, constituyendo infracción grave, culpable y reiterada. La conducta del demandante vulneró los principios de buena fe y respeto en la relación laboral, justificando la sanción de despido disciplinario. La valoración de la prueba correspondió plenamente al juzgador de instancia, siendo insuficiente cualquier alegación de error fáctico, dado que los informes y testimonios fueron debidamente considerados y la pretensión de revisión carecía de base documental suficiente.

En suplicación, se desestimaron los motivos de revisión de hechos probados y de infracción de normas sustantivas o del protocolo de actuación. Se confirmó que la carta de despido era válida, que el acoso cometido por el trabajador era grave y que concurrían circunstancias agravantes por su posición jerárquica y la especial vulnerabilidad de las trabajadoras afectadas. Se concluyó que el despido disciplinario fue ajustado a derecho y proporcional a la conducta del trabajador, confirmando íntegramente la sentencia de instancia.