Resoluciones Relevantes FEBRERO 2026

La Sala de Apelación de la Audiencia Nacional ha elevado de un año de prisión a dos años y seis meses la condena para el policía C.R. por acceder a los datos reservados de un empresario marbellí que fueron utilizados por el socio del comisario José Manuel V., Rafael R., para elaborar un informe patrimonial con el que perjudicar al ejecutivo en el marco de un litigio urbanístico que mantenía con una mujer.  En este procedimiento, la pieza separada 8 de la macrocausa Tándem, no fue juzgado Rafael R. por motivos fue salud y José Manuel V. fue absuelto al considerar la Sección Cuarta de la Sala de lo Penal que el comisario no tuvo ninguna participación en los hechos. En esa primera sentencia, de junio del pasado año, C.R. y otro policía, A.B., fueron condenados a la pena de 1 año de prisión por un delito de revelación de secretos de particulares del empresario de Marbella Felipe G.Z.

Frente a esa primera sentencia recurrieron el Ministerio Fiscal para solicitar el aumento de la condena de C.R. por considerar que se le debía aplicar el tipo agravado en el delito de revelación de secretos y también apelaron tanto este último como A.B. para reclamar su absolución. Ni el Ministerio Publico ni la acusación particular recurrieron la absolución del José Manuel V.  Según los hechos probados de la sentencia inicial que la Sala de Apelación da ahora por válidos, el acusado C.R., miembro del Cuerpo Nacional de Policía, accedió a una información reservada de Felipe G.Z., que se encontraba en los archivos informatizados del órgano centralizado de prevención (OCP) de blanqueo de capitales del Consejo General del Notariado. Dicha información consistía en toda la vida económica de aquel ante notarios, con todos los actos o negocios jurídicos otorgados desde el 1 de enero de 2004 hasta la fecha de la consulta, agosto de 2025, concretamente 775 actuaciones. Para acceder a esos datos utilizó al inspector S.Y., quien le transmitió a su correo electrónico la hoja Excel con esa información.

Esta información no es de acceso público, recuerda la sentencia, y se encuentra a disposición solo de determinados miembros de las Fuerzas y Cuerpos de Seguridad para realizar investigaciones sobre financiación del terrorismo y blanqueo de capitales. El Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, regula la creación de estos organismos centralizados y su obligación de facilitar información a los funcionarios intervinientes. Se trata de una información que es objeto de protección por el tipo penal del artículo 197 y siguientes.  La hoja Excel con la información del empresario, continúa el fallo, fue a su vez enviada por C.R. al correo electrónico de su empresa ANBYCOL, “sabiendo que desviaba una información de los cauces oficiales, para permitir un uso privado de la misma”. A su vez A.B., sabiendo de qué información se trataba y su naturaleza confidencial, se la remitió a Rafael R., abogado de “Stuart & Mckenzie”, que había sido contratado para presentar una querella contra Felipe G.Z., en la que los honorarios dependían de los resultados económicos del proceso. “Esta información sirvió para nutrir un informe patrimonial, firmado por Rafael R., y con el membrete de Grupo Cenyt, que se presentó al Juzgado al que se había turnado la querella. Existió una intromisión en datos privados en perjuicio de su titular, al buscar tener una exhaustiva información de su patrimonio”.  “De modo que en estos hechos constan todos los elementos del delito de revelación de secretos del artículo 197.2 del Código Penal pues se accedió a una información protegida sin estar debidamente autorizado y la autorización estaba restringida a otros fines. Esta información se transmite de C.R. a A.B., ambos tuvieron acceso a ella y termina en manos de Rafael R., abogado, que se sirve de ella para elaborar un informe patrimonial con participación de ANBYCOL y A.B. sobre la situación económica de Felipe G.Z. Existió un acceso no autorizado a una información protegida en perjuicio del titular de esa información Felipe G.Z. Así no solo consta la conducta delictiva, sino que también concurre el elemento subjetivo en los dos recurrentes y el perjuicio” al empresario, concluye la Sala de Apelación.

La sentencia estima el recurso del Ministerio Fiscal y eleva la pena para C.R. de 1 año a 2 años y medio de cárcel al considerar que, pese a que se trató de un único acceso, se hizo respecto a una gran cantidad de datos de carácter privado, referidos a varios años, y dado que se obtuvo la información en una hoja Excel ya no era necesario reiterar la petición.  Añade que C.R. puso su actividad profesional al servicio de la actividad delictiva y que hubo un aprovechamiento específico de su función. “De modo que existió un prevalimiento de su función para realizar el delito, fuera de los casos autorizados y sin mediar causa por delito”, por lo que le aplica el tipo agravado del delito.  La Sala rechaza los recursos de C.R. y de A.B. en los que solicitaban su absolución y la aplicación de la atenuante de dilaciones indebidas como muy cualificada. Respecto a este último argumento, los magistrados consideran que, pese al tiempo transcurrido desde la incoación de este procedimiento, en 2018, se trata de una causa que ha ido acumulando decenas de piezas separadas con una ingente cantidad de documentación y de grabaciones que debían ser analizadas. Además, se debieron practicar numerosas diligencias en el extranjero para seguir el rastro del dinero y de sociedades radicadas fuera de España.

El reclamante expone que suscribió un contrato de préstamo con KVIKU y que, tras considerar abusivas las comisiones aplicadas, solicitó la cancelación anticipada y procedió al reembolso total mediante transferencia bancaria, cuyo justificante aporta. Indica que, para tramitar la cancelación, la entidad le requirió el envío de una fotografía en la que apareciera sosteniendo su DNI. Acompaña capturas del historial de préstamos, justificante del pago, correos electrónicos intercambiados sobre importes pendientes y modo de reembolso anticipado, así como la respuesta de la entidad en la que se le exige “su foto con DNI a mano”, copia de la imagen remitida y posteriores comunicaciones en las que reitera la cancelación mientras la entidad afirma estar procesando la solicitud o reclama pagos adicionales. KVIKU no atendió inicialmente el traslado de la reclamación y, con posterioridad, manifestó que no podía suprimir los datos del interesado al no haberse satisfecho la totalidad del préstamo y que el tratamiento se ampara en la relación contractual. Añadió que, como entidad sujeta a la Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo, debe verificar fehacientemente la identidad de sus clientes, y que la solicitud de la fotografía con el DNI responde a esa obligación. Señaló que no se habían adoptado medidas adicionales al no apreciar incidencia alguna y que, en caso de que la autoridad de control considerara inadecuada la práctica, cesaría en su utilización.

Consta que las partes mantienen un contrato de préstamo y que la entidad exige la aportación de la citada fotografía para gestionar la cancelación. Si bien la normativa de prevención del blanqueo impone a los sujetos obligados la identificación de quienes establecen relaciones de negocio u operan con ellos, y contempla medidas específicas para operaciones no presenciales —como la firma electrónica cualificada, la obtención de copia del documento de identidad en determinadas condiciones o la verificación mediante cuenta bancaria del mismo titular—, no prevé expresamente la identificación mediante una fotografía del cliente sosteniendo su documento. La normativa sectorial debe aplicarse de forma concurrente RGPD, cuyo artículo 5.1.c) consagra el principio de minimización de datos, exigiendo que estos sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento. Las Directrices 4/2019 del Comité Europeo de Protección de Datos sobre protección de datos desde el diseño y por defecto establecen que el responsable debe verificar, antes de iniciar el tratamiento, si la finalidad puede alcanzarse con una menor cantidad de datos o mediante medios menos intrusivos, evitando la recogida de información innecesaria. En este caso, la verificación de identidad para la cancelación de un préstamo puede realizarse mediante mecanismos ya previstos en la normativa de prevención del blanqueo o a través de sistemas de identificación previamente habilitados por la entidad, sin necesidad de recabar una imagen del interesado sosteniendo su DNI. Se entiende que el requerimiento de la entrega de una foto del reclamante con el documento de identidad en la mano para cancelar un préstamo previamente contratado supone un tratamiento excesivo de datos personales, puesto que éstos son inadecuados, no pertinentes y no necesarios para el fin específico del tratamiento de que se trata.

La reclamante denunció a la AEPD que la inmobiliaria Grupo B-Home, con domicilio en Móstoles, le facilitó un documento de recogida de datos personales que incluía una cláusula informativa en materia de protección de datos con referencia expresa a la derogada Ley Orgánica 15/1999. Considera que dicha mención supone una información inadecuada al sustentarse en una normativa no vigente. Aporta copia del contrato suscrito, en el que se indica que, en cumplimiento de la Ley 15/1999, los datos formarán parte de ficheros de clientes potenciales con la finalidad de tramitar la venta del inmueble, informando únicamente de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición ante la entidad. En el mismo documento consta que el pago se entregó a BH REALTY MOSTOLES S.L. Inicialmente se tramitó la reclamación como un posible procedimiento de tutela de derechos, otorgándose trámite de audiencia a la entidad sin que consten alegaciones. Posteriormente se declaró el archivo de dicho procedimiento al apreciarse que la reclamación no versaba sobre la falta de atención de un derecho de los previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679 (RGPD), sino sobre una eventual infracción del deber de información. En consecuencia, se acordó la continuación de actuaciones por la vía correspondiente. Aunque la reclamación se dirigía contra GRUPO B HOME MADRID NOROESTE, S.L., del contrato aportado resulta que la relación jurídica se formalizó con BH REALTY MOSTOLES S.L., frente a la que se acordó iniciar procedimiento de apercibimiento por la presunta infracción del artículo 13 del RGPD, tipificada en el artículo 83.5 del mismo texto.

El artículo 13 del RGPD impone al responsable del tratamiento, cuando los datos personales se obtienen directamente del interesado, la obligación de facilitar, en el momento de la recogida, información clara y completa sobre la identidad del responsable, los fines y la base jurídica del tratamiento, los destinatarios o categorías de destinatarios, el plazo de conservación, los derechos que asisten al interesado —incluidos los de supresión, limitación del tratamiento y portabilidad—, el derecho a presentar reclamación ante una autoridad de control y, en su caso, si la comunicación de datos constituye un requisito legal o contractual. En el supuesto examinado, la cláusula contractual se limita a mencionar la incorporación de los datos a un fichero de clientes potenciales y la posibilidad de ejercitar los derechos reconocidos en la normativa derogada, omitiendo la base de legitimación del tratamiento, la información completa sobre los derechos reconocidos por el RGPD, los plazos de conservación, los destinatarios de los datos, la posibilidad de reclamar ante la autoridad de control y demás extremos exigidos por el artículo 13. La referencia exclusiva a la Ley Orgánica 15/1999 y la ausencia de los elementos informativos actualmente requeridos determinan que la información facilitada no se adecúe a las exigencias del RGPD.

La reclamante denuncia haber recibido un correo electrónico de FREE TECHNOLOGIES EXCOM informándole de la actualización de su área privada de clientes. En dicho mensaje, remitido en texto plano, se incluían sus credenciales completas de acceso —usuario y contraseña— habiendo sido esta última modificada unilateralmente sin previo aviso. Señala que el portal permite acceder a datos como nombre y apellidos, dirección, DNI, teléfono, correo electrónico, contrato, facturas, detalle de llamadas, consumo de datos y otros datos personales, y que no existe autenticación multifactor. Considera que el envío de las credenciales completas a través de correo electrónico constituye una brecha de seguridad. Aporta captura del mensaje remitido, en el que se facilitan las credenciales para el acceso al panel de cliente de EXCOM.

En sus alegaciones, EXCOM sostiene que el envío de las credenciales obedeció a un error humano puntual, ya corregido, y que actuó de inmediato reiniciando contraseñas, modificando el procedimiento de gestión de accesos y contactando con el afectado. Afirma que no existieron accesos no autorizados ni exfiltración de datos, que dispone de medidas técnicas y organizativas acordes con el estado de la técnica, y que el artículo 32 RGPD establece una obligación de medios y no de resultado. Invoca asimismo la inexistencia de nexo causal con daño alguno, el carácter aislado del incidente, la ausencia de antecedentes y la aplicación del principio de proporcionalidad para interesar la atenuación de cualquier eventual sanción. Aporta copia de comunicaciones mantenidas con el reclamante, en las que reconoce el error y comunica la modificación del procedimiento de cambio de contraseña.

Sin embargo, consta acreditado que la entidad remitió por correo electrónico, en texto claro, las credenciales completas de acceso a un entorno que contiene datos personales de especial sensibilidad operativa, sin que conste la existencia de medidas organizativas que impidieran dicha comunicación indebida. La calificación del hecho como error humano puntual no excluye su imputación, pues revela una insuficiencia de las medidas implantadas para prevenir riesgos previsibles asociados a la gestión y comunicación de credenciales. Asimismo, se indica que la ausencia de accesos no autorizados o de perjuicio efectivo no resulta determinante, dado que el artículo 32 RGPD no condiciona la infracción a la producción de daño, sino a la adecuación de las medidas técnicas y organizativas al riesgo del tratamiento. La obligación de seguridad exige medidas efectivas y apropiadas que garanticen la confidencialidad e integridad de los datos, atendiendo a la naturaleza del tratamiento y a los riesgos derivados de la comunicación o acceso no autorizado. La mera existencia de medidas genéricas de seguridad (cifrado de servidores, controles de acceso, protocolos TLS o registros de actividad) no neutraliza el riesgo específico asociado al envío de credenciales en claro por correo electrónico, canal cuya seguridad no puede delegarse exclusivamente en tecnologías subyacentes, valoración que debe realizarse en el momento del incidente y no a la luz de las medidas correctoras posteriores. Asimismo, la calificación del incidente como error humano puntual no excluye la posible insuficiencia de las medidas organizativas destinadas a evitar la divulgación indebida de información de autenticación, ni resulta determinante la inexistencia acreditada de accesos no autorizados o daños efectivos, dado que el precepto citado no condiciona la infracción a la producción de un perjuicio, sino a la adecuación preventiva de las medidas de seguridad frente a riesgos previsibles.

Con fechas 17 y 20 de mayo de 2024 se presentaron ante la AEPD escritos de reclamación contra BLUE TEAM FLIGHT SCHOOL, S.L., manifestando que con fecha 9 de mayo de 2024 recibió en su cuenta personal de correo electrónico un mensaje remitido por una persona identificada como CEO de BLUE TEAM. En el mensaje, en inglés, se le preguntaba por su grado de satisfacción en la empresa en la que estaba trabajando y si estaría dispuesto a escuchar una oferta laboral por parte de BLUE TEAM. Añade que al día siguiente recibió, a través de WhatsApp, en un número de línea móvil griego y que manifiesta que es personal, un mensaje en el que se le solicitaba confirmación de la recepción del mensaje de correo electrónico referido antes. La parte reclamante denunciaba que BLUE TEAM estaba tratando sus datos personales sin su consentimiento ni conocimiento, señalando que desconocía quién podía haber comunicado sus datos a BLUE TEAM. Junto a la reclamación se aportó copia del mensaje de correo electrónico señalado anteriormente, junto a sus cabeceras, así como captura de pantalla del mensaje de WhatsApp referido.

Con fecha 25/9/2024 se solicitó a BLUE TEAM información mediante notificación electrónica que resultó expirada, remitiéndose nuevos requerimientos de información, accediendo a la misma, sin que conste que se haya recibido respuesta a dicho requerimiento. Por la AEPD se procedió a verificar que la identidad de la persona que figura como administrador único de BLUE TEAM FLIGHT SCHOOL, S.L. se corresponde con la de la persona que firma el mensaje de correo electrónico de 9/5/2024 recibido por la parte reclamante.  Asimismo, en la política de Privacidad de la página web www.blueteam.es se identifica como responsable de tratamiento de los datos de carácter personal a BLUE TEAM FLIGHT SCHOOL S.L

Se debe tener en cuenta que el artículo 53.2 la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, reconoce el derecho a la presunción de inocencia, siendo aplicable al Derecho Administrativo Sancionador, con alguna matización pero sin excepciones, los principios inspiradores del orden penal, resultando clara la plena virtualidad del principio de presunción de inocencia. Estos principios impiden imputar una infracción administrativa cuando no se haya obtenido y acreditado una prueba de cargo acreditativa de los hechos que motivan esta imputación o existan dudas racionales sobre la concurrencia de todos los elementos objetivos y subjetivos que integran la infracción, aplicando el principio “in dubio pro reo” en caso de duda.

En el presente supuesto, de la documentación obrante en el expediente se desprende que la reclamante recibió en su dirección de correo electrónico personal una comunicación remitida desde una cuenta de correo electrónico perteneciente al dominio blueteam.es; y que desde un número de línea móvil cuya titularidad se ha podido atribuir al administrador único de BLUE TEAM recibió un mensaje de WhatsApp. El contenido de ambas comunicaciones tiene que ver con una hipotética oferta laboral para la reclamante. Sin embargo, no se ha podido acreditar, sin ningún género de duda, que BLUE TEAM careciera de una base de legitimación válida para tratar los datos personales de la reclamante y, por lo tanto, no existen los elementos objetivos suficientes para constatar la existencia de una infracción administrativa que justifique la apertura de un procedimiento sancionador. Por lo tanto, en base a lo anterior, la AEPD estima no haber encontrado evidencias que acrediten la existencia de infracción en su ámbito competencial, acordando el archivo del procedimiento

A.A.A. interpuso reclamación ante la AEPD contra ***EMPRESA.1 por recibir en su teléfono un contrato de suministro eléctrico que contenía sus datos personales y los del punto de suministro, sin haber formalizado relación contractual alguna, solicitando conocer el origen de los datos. La documentación aportada incluye el contrato no firmado, orden de domiciliación, datos bancarios, servicios adicionales y formulario de desistimiento. ***EMPRESA.1 manifestó que el contrato provenía de ***EMPRESA.3 (nombre comercial de ***EMPRESA.2), agente de ventas, y que no fue remitido para validación ni activación, por lo que los datos del reclamante no se trataron en su base de datos. Añadió que revisó sus registros telefónicos sin hallar llamadas al reclamante y que el contrato de agencia con ***EMPRESA.2 fue rescindido por incumplimiento de protocolos de prevención de fraude en televenta. Según ***EMPRESA.1, el agente actuaba con sus propios medios y datos, y solo una vez que el cliente mostraba interés se consideraba encargado del tratamiento.

***EMPRESA.2 declaró que los datos del reclamante fueron obtenidos mediante un colaborador subcontratado (B.B.B.), que cumplimentó el contrato de suministro en llamada telefónica incorporando los datos en los sistemas de ***EMPRESA.1, sin que el servicio se activara ni existiera grabación de la llamada disponible. Aportó el contrato de agencia entre ***EMPRESA.2 y ***EMPRESA.1, donde se establecía que ***EMPRESA.2, como agente independiente, captaría clientes por televenta, grabaría las llamadas, registraría los datos y los remitiría a ***EMPRESA.1, que actuaba como responsable del tratamiento. El contrato preveía obligaciones de protección de datos, medidas de seguridad y límites de uso, incluidas disposiciones sobre subencargados y colaboración con el responsable. El contrato finalizó el 31 de julio de 2023. ***EMPRESA.1 alegó que el procedimiento sancionador excedía el objeto de la reclamación y que el contrato revisado previamente por la AEPD contenía los elementos esenciales del artículo 28.3 del RGPD, que actuó con diligencia, y que no existía culpabilidad al no haber recabado directamente los datos del reclamante ni conocer la subcontratación no autorizada por ***EMPRESA.2. Señaló además que su actuación se basaba en el contrato de encargo vigente y que había adoptado medidas correctivas en el nuevo modelo de contrato de agentes de televentas.

La AEPD indicó que la actuación de la autoridad no se limita al contenido de la reclamación y puede extenderse a cuestiones conexas, conforme al TJUE. La investigación concluyó que el contrato entre ***EMPRESA.1 y ***EMPRESA.2 presentaba carencias respecto a los requisitos del artículo 28.3 del RGPD, concretamente: falta de determinación de los tratamientos, tipología de datos personales, desarrollo insuficiente de las medidas de seguridad del artículo 32, ausencia de previsiones sobre subencargados y escasa especificación sobre la colaboración del encargado con el responsable para cumplir obligaciones de seguridad y notificación de violaciones de datos. Estos hechos constituyen infracción del artículo 28.3 del RGPD atribuible a ***EMPRESA.1.

La Jefatura Superior de Policía de las Illes Balears formuló denuncia ante la AEPD contra MEDIOS DE PREVENCIÓN EXTERNOS, S.L. (MPE), tras tener conocimiento de la aparición en la vía pública, en Palma, de una caja que contenía documentación relativa a reconocimientos médicos practicados a agentes de la Policía Nacional y de la Guardia Civil. La incidencia fue comunicada a la Policía Nacional por la Inspección Medioambiental de una empresa pública municipal, después de que un ciudadano alertara de la existencia de una caja abandonada con contenedores de jeringuillas y una mochila con documentación. Un trabajador recogió el material, lo precintó y lo trasladó a dependencias municipales, donde quedó depositado. Posteriormente se comprobó que los documentos correspondían a reconocimientos médicos realizados por MPE a efectivos de ambos cuerpos.

Las pesquisas policiales determinaron que los reconocimientos se efectuaban en las instalaciones de la Policía Nacional y de la Guardia Civil en Palma y que, al finalizar cada jornada, los formularios se trasladaban a la sede central de MPE para su custodia en armarios cerrados. Una empleada que participó en dichos reconocimientos manifestó que habitualmente era ella quien transportaba la documentación, y en ocasiones un facultativo que también trasladaba muestras biológicas. El lugar donde apareció la caja coincidía con la dirección en la que constaba empadronada dicha trabajadora, quien no pudo ser localizada para prestar declaración. Un antiguo conviviente indicó que la empleada había introducido en el domicilio cajas y material similar al hallado, y que posteriormente aparecieron abandonados en el portal.

Diversas declaraciones evidenciaron que no existía una hoja de control ni cadena formal de custodia para el traslado del material médico y la documentación. Trabajadores encargados del transporte señalaron que recogieron cajas abiertas y cerradas con formularios y muestras, que fueron trasladadas en vehículos particulares directamente desde dependencias policiales hasta la sede de la mercantil, sin registro detallado del contenido ni constancia documental de entrega. Personal de la Jefatura manifestó que únicamente se facilitó el espacio físico para la realización de los reconocimientos, sin asumir funciones de custodia, y que desconocía el protocolo interno de la empresa adjudicataria.

En respuesta a la solicitud de información, la entidad denunciada indicó que los reconocimientos se realizaban en dependencias oficiales y que, una vez finalizados, el traslado a sus instalaciones fue efectuado por empleados concretos, sin que constara comunicación interna de extravío o sustracción. El pliego de prescripciones técnicas del contrato de vigilancia de la salud imponía a la adjudicataria la obligación de confidencialidad, custodia diligente de la información y aplicación de medidas de seguridad conforme al RGPD y la LOPDGDD, incluyendo la adopción de medidas técnicas y organizativas que garantizaran la integridad y confidencialidad de los datos tratados.

Los hechos acreditan que documentación relativa a datos de salud —categoría especial de datos personales— fue hallada en la vía pública, accesible a terceros ajenos al tratamiento. La ausencia de una cadena de custodia documentada, así como la inexistencia de controles formales sobre el traslado y depósito de los reconocimientos médicos, evidencian deficiencias en las medidas organizativas aplicadas durante el tratamiento y custodia de dicha información. Tales circunstancias se encuadran en el ámbito del principio de integridad y confidencialidad previsto en el artículo 5.1.f) del RGPD, que exige garantizar una seguridad adecuada de los datos personales frente a pérdidas o accesos no autorizados mediante la adopción de medidas técnicas y organizativas apropiadas.

La AEPD tuvo conocimiento de la publicación en la red social ***APP.1, desde el perfil ***USUARIO.1, de un vídeo en el que se difundía la identidad —imagen, nombre y primer apellido— de una persona anónima. La Agencia comprobó que el mismo contenido se había compartido previamente en otro perfil de ***APP.2 por ***USUARIO.2 y que a su vez se vinculaba con un tercer perfil, bajo un título que permitía la identificación rápida de la persona afectada. La publicación incluía datos identificativos y el vídeo estaba localizable en varias URL.

La Agencia remitió medida cautelar a ***EMPRESA.1 para la retirada inmediata de los contenidos. Durante las actuaciones previas, se verificó que la dirección IP utilizada para la publicación correspondía a A.A.A., titular del perfil ***USUARIO.1, usuario verificado en la plataforma, quien determinó los fines y medios del tratamiento de datos, por lo que actuó como responsable del tratamiento según el artículo 4.7 del RGPD. La publicación exponía la imagen de la persona afectada, su nombre y primer apellido, vinculándola con un episodio privado de carácter sexual.

El expediente administrativo documenta que el perfil de A.A.A. era verificado, con datos de contacto asociados a la IP utilizada y sin constancia de que la persona afectada hubiera prestado su consentimiento para la difusión de su imagen y datos personales. Se determinó que los datos difundidos eran de una persona anónima y no pública, lo que incrementa la necesidad de protección de su intimidad. La jurisprudencia del Tribunal Europeo de Derechos Humanos y del Tribunal de Justicia de la Unión Europea establece que la libertad de expresión no es absoluta y debe ponderarse frente al derecho a la protección de datos, considerando la relevancia pública de la persona y del hecho divulgado.

En este caso, la persona afectada no es figura pública, no ha aceptado voluntariamente la exposición de su vida privada y la publicación no contribuía a un debate de interés general, por lo que la difusión de sus datos personales no estaba justificada ni amparada por la libertad de expresión. Asimismo, de las posibles bases de licitud del tratamiento previstas en el artículo 6.1 del RGPD, únicamente podría ampararse en el consentimiento del interesado, que no consta en el expediente. La documentación revisada confirma que la publicación de A.A.A. vulnera el derecho fundamental a la protección de datos personales de la persona afectada.

La reclamante expone que la comunidad de propietarios A.A.A. decidió en junta general ordinaria instalar un sistema de acceso mediante lector de huellas dactilares para la piscina comunitaria, considerándolo un tratamiento de datos desproporcionado frente a métodos menos intrusivos. Se aportan fotografías del sistema y copia de un comunicado informativo dirigido a los propietarios, en el que se detalla la instalación del lector, las fechas de registro de huellas y se indica que el equipo cumple la normativa europea y que los datos se utilizarán únicamente para controlar el acceso.

Por su parte, la comunidad respondió aportando antecedentes y documentación que describen la realidad física de la comunidad, compuesta por dos unidades constructivas con servidumbre de paso sobre la piscina, la legalidad del acuerdo adoptado en junta y el consentimiento de los propietarios para el registro de huellas. Se adjuntan acta de la junta en la que se aprobó el sistema con mayoría de votos, la sentencia judicial que desestimó la impugnación del acuerdo, indicando que no vulnera la ley, los estatutos ni la normativa de protección de datos, y documentación de la empresa instaladora que certifica que el sistema únicamente reconoce huellas registradas por voluntad del propietario, no almacena datos en línea, no asocia huellas a otros datos identificativos y los datos están cifrados, codificados y almacenados físicamente en el dispositivo, sin posibilidad de restauración por terceros.
La comunidad informó a los usuarios del funcionamiento del sistema, su finalidad y garantías, y consideró innecesaria la Evaluación de Impacto prevista en el art. 35 del RGPD por tratarse de un tratamiento realizado por comunidades de propietarios con consentimiento expreso de los usuarios. El sistema afecta únicamente a los propietarios que acceden a la piscina, habiéndose registrado 47 huellas hasta la fecha, sin que se haya producido almacenamiento adicional ni uso distinto del control de acceso.

Durante las actuaciones previas, no se ha acreditado que las huellas puedan asociarse a personas físicas identificables, aplicándose el criterio del Tribunal de Justicia de la Unión Europea sobre la imposibilidad práctica de identificación en tales circunstancias. Con base en lo anterior, no se ha obtenido prueba suficiente que permita atribuir una infracción en el ámbito de protección de datos, por lo que la Agencia procede al archivo del expediente, sin perjuicio de actuaciones futuras.

Por la AEPD se dictó resolución en el procedimiento sancionador seguido contra AVENTURA EN TRAMPOLINES S.L., imponiendo multa y ordenando acreditar la adecuación del formulario “Acuerdo de usuario. Consentimiento informado y asunción de riesgo” a la normativa de protección de datos, a fin de que el consentimiento otorgado por los usuarios cumpla con los requisitos legales. La resolución y los requerimientos fueron notificados conforme a la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas mediante medios electrónicos, no siendo recogidos inicialmente por la empresa, lo que se entendió como rechazo y permitió dar por efectuado el trámite.

Tras transcurrir el plazo concedido sin que AVENTURA remitiera acreditación alguna, se le requirió en dos ocasiones adicionales para que, en el plazo de diez días hábiles, comunicara las medidas adoptadas, notificaciones que fueron recibidas por la empresa según constan en los acuses de recibo. No obstante, AVENTURA no ha remitido respuesta que acredite el cumplimiento de las medidas impuestas. En consecuencia, la AEPD acordó iniciar procedimiento sancionador por presunta infracción del artículo 58.2 RGPD. El acuerdo de inicio fue notificado conforme a la LPACAP, y no se recibieron alegaciones dentro del plazo otorgado.
La resolución inicial devino firme y ejecutiva por el transcurso de los plazos previstos para interposición de recursos, y la falta de acreditación por parte de AVENTURA de las medidas ordenadas evidencia el incumplimiento de la autoridad de control. Los hechos descritos se consideran constitutivos de infracción imputable a AVENTURA por vulneración del artículo 58.2.d) del RGPD, relativo a los poderes de corrección de la autoridad de control.

Los hechos traen causa del extravío de documentación remitida por una clienta de una entidad bancaria con ocasión de su alta como cotitular en una cuenta. Siguiendo las instrucciones de la entidad, la interesada concertó la recogida domiciliaria del formulario firmado y copia de su DNI. La recogida fue realizada materialmente por AUTORADIO, por encargo de SENDING, que actuaba a su vez en la red logística de DYNAMIC, empresa contratada por la entidad bancaria como encargada del tratamiento para la recogida de documentación. La documentación no llegó a su destinatario y contenía datos identificativos y económicos de la reclamante y de su pareja. En el marco del procedimiento se constató que DYNAMIC actuaba como encargada del tratamiento y que SENDING y AUTORADIO intervenían en la cadena como subencargados. La resolución sanciona a DYNAMIC por tres infracciones vinculadas al artículo 28 del RGPD:

- Por la subcontratación de SENDING como subencargado sin contar con autorización previa y por escrito del responsable del tratamiento. El contrato suscrito entre la entidad bancaria y DYNAMIC establecía un sistema de autorización específico, identificando expresamente los subencargados permitidos e imponiendo la necesidad de autorización previa para cualquier incorporación adicional. Sin embargo, la recogida fue canalizada a través de SENDING, circunstancia reconocida por la propia DYNAMIC, sin que conste acreditación documental de autorización expresa del responsable. Las alegaciones relativas a una supuesta comunicación en fase de licitación o a errores contractuales no fueron respaldadas por prueba suficiente y fueron expresamente negadas por el responsable del tratamiento.

- Por el incumplimiento del deber de informar al responsable sobre la incorporación de AUTORADIO como subencargado en la cadena de tratamiento. Durante la vigencia del contrato, SENDING subcontrató a AUTORADIO para realizar las recogidas, hecho reconocido por las entidades implicadas. DYNAMIC admitió conocer dicha relación, pero no comunicó esta modificación al responsable ni recabó autorización previa, privándole de la posibilidad de oponerse. El deber del encargado no se limita a solicitar autorización inicial, sino que comprende informar de cualquier cambio en la cadena de subencargados, garantizando el control efectivo del responsable sobre el tratamiento.

- Por la falta de formalización del contrato de subencargo con SENDING en los términos exigidos por la normativa. Los documentos aportados entre DYNAMIC y SENDING —anteriores al contrato principal con la entidad bancaria— no identificaban al responsable del tratamiento, no delimitaban adecuadamente el objeto, duración y categorías de interesados vinculados al encargo concreto, ni reproducían las obligaciones y medidas de seguridad alineadas con las impuestas por el responsable en el contrato principal. Además, contenían cláusulas genéricas o referencias normativas desactualizadas, sin garantizar la equiparación material de obligaciones exigida por el artículo 28.4 RGPD.

Por el contrario, se archivó la imputación relativa a la inexistencia de contrato de subencargo entre DYNAMIC y AUTORADIO, al acreditarse que esta última actuaba como subencargada de SENDING y no directamente de DYNAMIC.

La reclamante manifiesta que por el propietario y arrendador de una vivienda, se procedió a la instalación de un sistema de videovigilancia en el interior del inmueble arrendado, colocando una cámara de 360º, con detección de movimiento, seguimiento y audio bidireccional, que captaba imágenes del interior del piso, incluyendo zonas de acceso a habitaciones, baño y cocina, grabando a todas las inquilinas. Aportó reportaje fotográfico de la ubicación y orientación del dispositivo, así como copia de las comunicaciones mantenidas con el arrendador. De los hechos expuestos se desprendía la posible vulneración del artículo 6 del Reglamento (UE) 2016/679, al tratarse de un tratamiento de datos personales —imágenes y, en su caso, audio— sin base jurídica que lo legitimara, afectando a espacios reservados de una vivienda y, por tanto, a la esfera más intensa del derecho a la intimidad.

Requerido al efecto, A.A.A. presentó declaración responsable en la que indicaba que la cámara no se encontraba en funcionamiento y que había sido retirada. Manifestó que nunca llegó a instalarse definitivamente, sino que se realizó una preinstalación y, ante la disconformidad de las inquilinas, se procedió a descolgarla. Añadió que aportaría documento acreditativo de que no existía cámara alguna en el domicilio, si bien dicho documento no parece constar en el procedimiento.

Por la AEPD se consideró que la instalación del dispositivo en el interior de la vivienda arrendada, orientado hacia zonas comunes de uso privado, constituía un tratamiento de datos personales carente de base legitimadora conforme al artículo 6 del RGPD. Se apreció que la conducta evidenciaba negligencia, dada la captación potencial de imágenes y audio en espacios especialmente protegidos frente a injerencias. Tras la notificación del acuerdo de inicio, A.A.A. reconoció su responsabilidad y procedió al pago voluntario de la sanción, acogiéndose a las reducciones previstas, condicionadas al desistimiento o renuncia de cualquier acción o recurso en vía administrativa contra la sanción.

Se interpuso recurso de casación contra los autos de la Sección Quinta de la Sala de lo Contencioso- Administrativo de la Audiencia Nacional que denegaron las medidas cautelares solicitadas respecto a la suspensión de la publicación de una sanción administrativa y desestimaron el recurso de reposición. La Sección, apoyándose en precedentes de esta Sala y del Tribunal Supremo, señaló que existe un interés público evidente en la difusión de sanciones para garantizar la transparencia en la actividad bancaria, relevante para los mercados financieros y los clientes, y que las posibles consecuencias negativas sobre la imagen del sancionado quedan mitigadas por el artículo 115.7 de la Ley 10/2014, que prevé la publicación de la interposición de recursos judiciales y sus resultados en la web del Banco de España. El Tribunal Supremo consideró que el recurso plantea interés casacional en relación con la determinación de si la publicación de la sanción mientras se sustancia el proceso judicial afecta al derecho a la tutela judicial efectiva, incluyendo la tutela cautelar, y si la normativa nacional se ajusta al Derecho de la Unión Europea, en particular al artículo 68 de la Directiva 2013/36/UE y al Reglamento (UE) 2016/679 (RGPD). Se destacó que el derecho a la tutela cautelar es parte esencial de la tutela judicial efectiva y que la mera existencia de perjuicio reputacional derivado de la publicación no implica automáticamente su suspensión, ya que el ordenamiento ofrece mecanismos de mitigación como la publicación del recurso interpuesto y su resultado, la eventual anulación del acto sancionador o la reclamación de responsabilidad patrimonial. La medida cautelar debe ponderar intereses generales y particulares, evitando la suspensión automática que vaciaría de contenido la ejecutividad prevista por el artículo 115.5 de la Ley 10/2014.

Respecto a la compatibilidad con el Derecho de la Unión Europea, la Sala concluye que ni la Directiva 2013/36/UE ni sus considerandos excluyen la valoración judicial de la ejecutividad del acto sancionador ni impiden adoptar medidas cautelares. La publicación inmediata en el Boletín Oficial del Estado (BOE) puede generar un perjuicio reputacional significativo, dada su permanencia y difusión oficial, y, por ello, cuando la sanción está recurrida judicialmente, la publicación debe incorporar expresamente la indicación de que la decisión no es firme en sede jurisdiccional. Esta interpretación asegura que la información difundida cumpla los objetivos de transparencia y disuasión de la Directiva y respeta la tutela judicial efectiva.

En cuanto a la protección de datos, la publicación en el BOE respeta los principios de minimización y limitación del plazo de conservación del RGPD. No constituye un tratamiento excesivo, ya que refuerza la eficacia disuasoria y la transparencia, y el perjuicio derivado de la permanencia de la información se mitiga mediante el derecho al olvido, que permite la desindexación de enlaces asociados al nombre del interesado, limitando su exposición sin afectar la integridad de la fuente oficial. Por ello, la doble publicación, en la web del Banco de España y en el BOE, es compatible con el RGPD.

Finalmente, la Sala rechaza el planteamiento de cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea, considerando que la interpretación conjunta del artículo 115.5 de la Ley 10/2014, de la Directiva 2013/36/UE y del RGPD permite garantizar que la publicación cumpla los fines de transparencia y disuasión sin generar un perjuicio judicialmente irreparable. En consecuencia, el recurso de casación debe estimarse para precisar que la publicación en el BOE de sanciones firmes en vía administrativa debe incluir la indicación de que la sanción está judicialmente recurrida, sin que ello afecte a la ejecutividad general de la norma ni a la validez de la sanción.

El demandante prestaba servicios como conductor de la empresa demandada bajo contrato eventual a tiempo completo, con salario de 1.363,47 euros y centro de trabajo en Madrid, sin ostentar representación legal ni sindical, regido por el I Convenio Colectivo de transporte de pasajeros de la Comunidad de Madrid en vehículos de turismo mediante arrendamiento con licencia VTC. Su contrato contenía cláusulas adicionales, destacando la cláusula 8 sobre uso de medios de la compañía, que regulaba la utilización profesional de vehículos, teléfonos y sistemas informáticos con geolocalización, así como la obligación de cumplir normativa de tráfico y políticas internas, y la cláusula 14 sobre tratamiento de datos personales para gestión laboral, seguridad de la flota y control de conducción. La empresa notificó despido con efectos al 5 de febrero de 2024, tras controles de velocidad realizados mediante el sistema de geolocalización instalado en los vehículos, y el trabajador presentó papeleta de conciliación ante el SMAC, sin avenencia. La sentencia de instancia estimó la demanda, declaró nulo el despido por vulneración del derecho a la intimidad y condenó a la empresa a readmitir al trabajador con abono de salarios dejados de percibir y 7.501 euros por daño moral, sobre lo cual se interpuso recurso de suplicación.

En suplicación, el TSJM analiza la validez del uso de sistemas de geolocalización como medio de control empresarial y su incidencia en el derecho fundamental a la protección de datos. Si bien en primera instancia, se consideró que la obtención de estos registros vulneraba la intimidad del trabajador por falta de información específica y por no acreditarse la fiabilidad del sistema; el Tribunal de suplicación examina el contenido del contrato de trabajo, donde constan cláusulas adicionales que informan de manera expresa sobre la incorporación de dispositivos de geolocalización en los medios puestos a disposición del empleado. Se destaca que el trabajador fue advertido de que dicha tecnología permitía monitorizar estilos y hábitos de conducción para garantizar la seguridad de los pasajeros y verificar el cumplimiento de las obligaciones legales y de tráfico. Asimismo, el sistema permitía la desconexión fuera de la jornada laboral para preservar la privacidad del operario, lo que refuerza la proporcionalidad de la medida. El fallo judicial subraya que el derecho a la protección de datos personales otorga al individuo el control sobre el flujo de sus informaciones, pero no es absoluto y puede limitarse en el marco de la relación laboral si existe una justificación legítima y una información previa clara e inequívoca. Siguiendo la doctrina del test Barbulescu y los artículos 87 y 90 de la Ley Orgánica 3/2018, la sala determina que la empresa cumplió con el deber de informar sobre la existencia y finalidad del tratamiento de datos, descartando una expectativa razonable de intimidad respecto a la ubicación de un vehículo destinado exclusivamente al servicio profesional. Se establece que el tratamiento de los datos de geolocalización fue lícito al no captar circunstancias personales del conductor y estar vinculado estrictamente a la actividad laboral supervisada. Pese a no apreciarse vulneración de derechos fundamentales en la obtención de la información, el procedimiento concluye con la revocación de la nulidad inicial, calificando el despido como improcedente debido a la falta de concreción en el relato fáctico sobre la comisión efectiva de las infracciones de tráfico imputadas, lo que impide validar la sanción extintiva a pesar de la legalidad del sistema de control empleado.

Por GRUPO NORCONSULTING se interpuso recurso contencioso-administrativo contra la resolución de la AEPD por la que se impuso a la parte recurrente una sanción de 10.000 euros por infracción muy grave del artículo 15 del RGPD (derecho de acceso) y otra de 5.000 euros por infracción leve del artículo 17 del RGPD (derecho de supresión). La reclamación se originó a partir de un ciudadano alemán que recibió correos electrónicos con ofertas de empleo, remitiéndose su queja desde la autoridad alemana de protección de datos a la AEPD mediante el sistema de información del Mercado Interior. La recurrente explicó que los datos se obtuvieron de plataformas de búsqueda de empleo autorizadas por el reclamante y que la solicitud de supresión de datos fue atendida sin dilación, sin que consten posteriores solicitudes de complemento de información por parte del interesado.

- Sobre la solicitud de acceso, la AEPD consideró insuficiente la información sobre los datos tratados y la supresión de los mismos, sancionando por la falta de atención reiterada, la cual sostiene a partir de dos correos sucesivos a los que se refiere la autoridad alemana en su solicitud de información, pero que el demandante niega haber recibido. El examen de las actuaciones permite comprobar que los correos del reclamante pidiendo complemento de la información no figuran en el expediente, a pesar de que en las diversas resoluciones de la AEPD se asegura haberlos recibido de la autoridad alemana. El demandante pidió en diversas ocasiones vista de los correos para poder asegurar que algún departamento de la empresa los había recibido y preventivamente ofrece excusas para no haber respondido a los mismos (tiempos del COVID, cambio de sistema informático). Sin embargo, si los correos no figuran en el expediente no existe una prueba suficiente de que se hayan recibido, con lo que los presupuestos de la calificación como muy graves de los hechos no se acredita que concurran.

- Respecto a la solcitud de supresión, la recurrente sostuvo que procedió a la supresión de datos, específicamente al borrado del correo electrónico del reclamante, aunque no aportó pruebas debido al cambio de sistema informático. La Sala considera que, ante la duda razonable sobre la efectividad de la supresión, era exigible a la recurrente un mayor esfuerzo probatorio, mediante auditoría de bases de datos o justificación de operaciones de borrado. La falta de acreditación suficiente hace pertinente la imposición de la sanción relativa a la supresión, sin perjuicio de que se verifique posteriormente la supresión efectiva conforme a la resolución impugnada.

Un oficial de mantenimiento fue despedido tras ser captado por cámaras de videovigilancia sustrayendo virutas y piezas de titanio en las instalaciones de la empresa principal donde prestaba servicios. El incidente comenzó cuando un vigilante de seguridad detectó comportamientos sospechosos en un operario de otra contrata y, tras inspeccionar un cuarto de bombas, localizó bolsas con material valioso escondidas. Al mantener la vigilancia sobre dicha zona, las cámaras grabaron al trabajador cargando las bolsas en una furgoneta de su empresa. Posteriormente, el empleado reconoció la sustracción y restituyó el material, lo que llevó al archivo de las actuaciones penales iniciadas en su contra. El Juzgado de lo Social número Diez de Bilbao desestimó la demanda del trabajador y declaró el despido como procedente. La sentencia fundamentó su decisión en que la prueba de videovigilancia era válida, ya que el trabajador conocía la existencia de las cámaras y la empresa principal tenía necesidades legítimas de seguridad que justificaban la medida. Por el contrario, el TSJ revocó la sentencia de instancia y calificó el despido como nulo. La Sala concluyó que la grabación de imágenes era una prueba ilícita obtenida con vulneración de derechos fundamentales, específicamente por no haberse cumplido estrictamente con el deber de informar sobre la finalidad de control laboral de los dispositivos.

Admitido el recurso de casación la sala destaca que, conforme al artículo 89.1 de la normativa de protección de datos, el empleador puede tratar imágenes para funciones de control previstas en el Estatuto de los Trabajadores siempre que informe de manera expresa y clara. No obstante, la propia ley establece que, en supuestos de captación de la comisión flagrante de un acto ilícito, se entiende cumplido el deber de información mediante la mera colocación de distintivos informativos en lugares suficientemente visibles que identifiquen la existencia del tratamiento y la identidad del responsable. En el caso analizado, se constata que las cámaras eran visibles y estaban debidamente anunciadas mediante carteles informativos. Además, se subraya que el afectado poseía un conocimiento cualificado de la existencia del sistema, pues entre sus funciones profesionales se encontraba el mantenimiento eléctrico de dichos dispositivos. El tribunal aplica un juicio de proporcionalidad para validar la medida, considerando que la videovigilancia estaba justificada por sospechas indiciarias de una conducta irregular que debía ser verificada. La medida resulta idónea para descubrir al infractor, necesaria ante la inexistencia de otros métodos menos intrusivos e igualmente eficaces para acreditar la infracción, y proporcionada al estar vinculada estrictamente al cumplimiento del contrato. La doctrina invocada aclara que el derecho a la protección de datos no es absoluto y debe ponderarse con el poder de dirección empresarial, de modo que no todo incumplimiento del deber de información conlleva una vulneración del derecho fundamental si la medida es proporcional. Asimismo, se precisa que la nulidad de una prueba obtenida con vulneración de derechos fundamentales no supone un derecho constitucional a que el despido sea calificado como nulo, especialmente cuando la sospecha legítima justifica la ausencia de información previa. El marco legal establece que la existencia de los dispositivos informativos exigidos por la ley, junto al carácter flagrante de la conducta captada y el conocimiento del sistema por parte del empleado, satisface las exigencias de protección de datos personales para validar la prueba frente a la transgresión de la buena fe contractual.

La AEPD inició procedimiento sancionador contra CRUZ ROJA ESPAÑOLA (CRUZ ROJA) por presuntas infracciones de los artículos 5.1.f) y 35 del RGPD, tipificadas en los artículos 83.5 y 83.4 del RGPD, tras recibir reclamación de una paciente de la unidad de reproducción asistida del hospital gestionado por la entidad. La reclamante expuso que, cinco años después de vitrificar embriones, recibió un correo notificando el cambio de gestión del banco de gametos, en el que figuraban los datos personales de otros pacientes. La documentación aportada incluía carta dirigida a terceros con nombre, apellidos y DNI, firmada por gerentes de CRUZ ROJA y de la entidad gestora. CRUZ ROJA reconoció que el envío de notificaciones se realizó mediante un proceso automatizado de Word con macros que combinaban notificación y listado de pacientes, generando PDFs para cada destinatario. Tras pruebas iniciales satisfactorias, la macro comenzó a enviar documentos a destinatarios incorrectos, afectando a 237 comunicaciones erróneas según la entidad, aunque la investigación constató que fueron al menos 338, exponiendo los datos de 637 personas. La brecha se notificó a la AEPD el 17 de abril de 2023 y a los afectados, sin aplicar cifrado a los correos, incumpliendo sus propios procedimientos de seguridad.

La Agencia verificó que, pese a contar con medidas preventivas de seguridad de la información, estas no se aplicaron efectivamente en la comunicación masiva de datos de salud, lo que supuso vulneración del principio de confidencialidad del artículo 5.1.f) del RGPD. El tratamiento involucraba categorías especiales de datos personales a gran escala, exigiendo Evaluación de Impacto (EIPD) conforme al artículo 35 del RGPD, obligación que no fue cumplida. CRUZ ROJA alegó que la actividad previa a la entrada en vigor del RGPD no requería EIPD y que un Análisis de Riesgos realizado en 2023 la suplía; la AEPD determinó que dicha alegación carece de fundamento, pues los tratamientos en curso debían ajustarse al RGPD desde su entrada en vigor, y el Análisis de Riesgos no sustituye la EIPD, que requiere descripción sistemática de operaciones, evaluación de riesgos y medidas mitigadoras, supervisión del DPO y, si procede, consulta previa a la autoridad.

CRUZ ROJA alegó caducidad del procedimiento, error en la tipificación de la infracción, carácter aislado del incidente, ausencia de EIPD y falta de responsabilidad sobre la medida correctiva. La AEPD rechazó todas las alegaciones: el procedimiento se inició dentro del plazo legal, el acuerdo de inicio identifica correctamente la infracción del artículo 35 RGPD, el incidente implicó exposición de datos personales sin medidas efectivas de protección, el tratamiento era de alto riesgo y la infracción es de tracto sucesivo hasta que se realice y supere la EIPD. La medida correctiva relativa a la EIPD corresponde ahora a ***EMPRESA.1 tras la cesión del banco de gametos.

Se acreditó que el fallo en la macro, la falta de cifrado y la ausencia de control sobre la aplicación de medidas de seguridad constituyeron negligencia grave, generando vulneración del principio de confidencialidad e integridad de datos personales. La mera exposición de datos personales, aunque sin perjuicio económico directo, constituye daño inmaterial según la jurisprudencia del TJUE. La AEPD concluyó que la alegación sobre la desproporción de la sanción y la ausencia de intencionalidad carece de relevancia, dado que la normativa considera tanto la negligencia como la intencionalidad para la determinación de la infracción y la sanción. En consecuencia, la actuación de CRUZ ROJA en la gestión y envío de notificaciones del banco de gametos supuso la vulneración de los principios de confidencialidad e integridad, no eximida por el carácter humanitario de la entidad, ni por la presunta falta de perjuicio económico o emocional, y quedó constatada la obligación de realizar la EIPD, que debía haber sido adoptada antes de la cesión de responsabilidad a ***EMPRESA.1.

A.A.A. presentó reclamación ante la Agencia Española de Protección de Datos por la supuesta cesión indebida del correo electrónico de su hija por parte de IBERDROLA CLIENTES, S.A.U. (IBERCLI). La reclamación se fundamentó en que I-DE Redes Eléctricas Inteligentes, S.A.U. envió un correo a la dirección de su hija sin que ninguno de ellos lo hubiera facilitado, atribuyendo IBERCLI la transmisión del dato. Se aportaron capturas de pantalla y comunicaciones de I-DE justificando el envío. IBERCLI alegó que el correo electrónico fue proporcionado por A.A.A. en una llamada telefónica para solicitar una copia de factura, verificando su identidad mediante datos requeridos por su protocolo PSI y que, como comercializadora, tiene obligación legal de transmitir los datos a la distribuidora según los flujogramas de la CNMC. Aportó documentación y la guía de control PSI de su Call Center, que establece la verificación mediante al menos cuatro datos del cliente.

IBERCLI cuestionó la notificación de la resolución, alegando vulneración del principio de igualdad, y afirmó que los datos fueron facilitados por la hija del reclamante, que tenía poderes para actuar en su nombre. Atribuyó a la reclamación la imposibilidad de determinar la existencia de negligencia, citando jurisprudencia del TJUE y del Tribunal Supremo sobre culpabilidad y responsabilidad de personas jurídicas. Subrayó que la comunicación de datos no autorizada de poca trascendencia no demuestra la inexistencia de medidas de seguridad adecuadas.

La Agencia señaló que el procedimiento no versa sobre la cesión del correo, sino sobre la carencia de medidas de seguridad adecuadas al riesgo en el sistema PSI de IBERCLI, que permite verificar identidad y actualizar datos personales por teléfono. El protocolo aportado no especifica criterios uniformes para la selección de datos, carece de trazabilidad y permite identificar al titular mediante información fácilmente accesible, lo que incrementa el riesgo de suplantación y accesos no autorizados. Además, el sistema permite actualizar la base de datos sin confirmación del cliente, comprometiendo exactitud y fiabilidad de la información. La falta de registro claro impide comprobar la veracidad de los datos aportados y la correcta verificación de identidad, vulnerando el artículo 32 del RGPD y el principio de responsabilidad proactiva del artículo 24.

IBERCLI alegó que exige datos según la guía de la CNMC para contratación, no para verificación de identidad, y que la ausencia de dolo o negligencia impide la sanción. La Agencia aclaró que la infracción imputada se centra en la insuficiencia de las medidas de seguridad técnicas y organizativas, no en la comunicación puntual de datos, y que la negligencia se evidencia en las deficiencias del protocolo PSI. Se destacó que el RGPD exige medidas proporcionales al riesgo, considerando naturaleza, alcance, contexto, finalidad del tratamiento y riesgos para los derechos de los interesados, incluyendo seudonimización, cifrado y trazabilidad de las acciones.

En cuanto a la cuantía de la sanción, la AEPD indicó que la multa debe ser efectiva, proporcionada y disuasoria, atendiendo al volumen de negocio, categoría de infracción y nivel de gravedad, según Directrices 04/2022. El volumen de negocio de IBERCLI en 2023 fue de 12.377.260.000 euros, y la infracción tipificada en el artículo 83.4 del RGPD permite multa de hasta 2% del mismo, fijándose inicialmente en 1.000.000 euros considerando extensión de la infracción, reiteración, datos sensibles implicados y tratamiento habitual de datos personales. Se precisó que no procede valorar como atenuantes circunstancias previstas como agravantes ni la cooperación con la autoridad, y que el daño no requiere comprobación material dado que se afecta un derecho fundamental.

Como consecuencia de una reclamación presentada ante la Agencia Española de Protección de Datos contra BLEISOR SOLUTIONS, S.A.S., con NIF colombiano 901689980-9 (en adelante, BLEISOR), se iniciaron actuaciones bajo el expediente EXP202401779 por indicios de posible incumplimiento de la normativa de protección de datos. En el marco de la investigación, se remitieron varios requerimientos de información a A.A.A., representante de BLEISOR, para que aportase la documentación e información solicitada en el plazo de diez días hábiles, notificándose conforme a lo previsto en la Ley 39/2015. Los primeros envíos se realizaron al domicilio social de COLPER BUSINESS 2020, S.L., dirección de contacto en España de BLEISOR según contrato aportado por BJT PARTNER - RING OVER; la primera notificación fue recogida, mientras que la segunda fue devuelta por Correos por desconocido. Al no obtener respuesta, se enviaron requerimientos a la dirección de CONSULTORES JEB005 S.L., siendo recogidos ambos, y posteriormente se realizaron nuevos envíos a A.A.A. y a COLPER BUSINESS 2020, S.L., algunos de los cuales fueron devueltos por dirección incorrecta, mientras que otros fueron recogidos conforme consta en los acuses de recibo.

Ante la reiterada falta de colaboración, la Agencia acordó iniciar procedimiento sancionador contra BLEISOR por presunta infracción del artículo 58.1 del Reglamento (UE) 2016/679 (RGPD), tipificada en el artículo 83.5 del mismo Reglamento. La notificación del acuerdo de inicio se realizó mediante publicación en el Boletín Oficial del Estado tras resultar infructuosos los intentos de notificación postal a la dirección de contacto en España. Transcurrido el plazo para formular alegaciones, no se recibió contestación alguna por parte de BLEISOR.

La conducta de BLEISOR consistió en no aportar a la Agencia la información requerida, obstaculizando así la potestad de investigación que el artículo 58.1 del RGPD otorga a las autoridades de control, facultándolas para ordenar al responsable, al encargado del tratamiento o a su representante que faciliten cualquier información necesaria para el desempeño de sus funciones. Los hechos descritos se estiman constitutivos de infracción imputable a BLEISOR por vulneración de dicho precepto.

Por la reclamante se interpuso reclamación ante la AEPD contra la odontóloga A.A.A., alegando acceso incompleto y manipulación de su historia clínica, incluyendo la ausencia de radiografías y TAC, y entrega de datos de terceros. La reclamante solicitó acceso verbal y posterior escrito a su historia clínica, recibiendo inicialmente un correo electrónico con dos fotografías visibles sin protección, y más tarde la historia clínica completa, acreditada mediante acuse de recibo. Además, ejerció el derecho de supresión mediante correo electrónico, que fue atendido mediante bloqueo de los datos, conservados en un archivo protegido con contraseña, accesible únicamente a A.A.A., con plazo de conservación entre cinco y diez años. Por su parte, la odontóloga alegó que las solicitudes de la reclamante se centraban en información económica, no en datos personales, y que la historia clínica completa fue entregada en plazo, ratificando que el bloqueo de los datos garantizaba su seguridad y cumplimiento normativo. Aportó declaración responsable, certificación de software de gestión actualizado, estructura de directorios con carpetas protegidas, contrato de consultoría en protección de datos, nombramiento como responsable de privacidad, protocolo interno de ejercicio de derechos, acuerdo de confidencialidad y formularios de autorización de tratamiento.

Si bien inicialmente se acordó la inadmisión de la reclamación, la reclamante recurrió, señalando la entrega de datos de terceros y obstrucción al ejercicio de derechos, aportando capturas de correos electrónicos y evidencias de envío sin cifrado ni medidas de seguridad. Durante el procedimiento sancionador iniciado por la Agencia, A.A.A. acreditó la existencia y bloqueo de los datos personales de la reclamante, así como la implantación posterior de medidas organizativas y técnicas, incluyendo envío de documentación mediante PDF protegido con contraseña, trazabilidad de solicitudes, protocolo interno de ejercicio de derechos, acuerdo de confidencialidad y designación como responsable de privacidad.

No obstante, la Agencia constató que, en el momento de los hechos, el envío de la historia clínica mediante correo electrónico sin cifrado seguro ni autenticación doble, unido a la falta de trazabilidad de las solicitudes, constituía insuficiencia de medidas de seguridad respecto a los datos de salud, categorías especiales según el artículo 9 del RGPD, y, por tanto, vulneración del artículo 32 del RGPD. El análisis jurídico determinó que la reclamante ejerció de manera efectiva los derechos de acceso y supresión, por lo que no concurrió infracción de los artículos 6.1 y 9.1 del RGPD, pero sí la vulneración de medidas técnicas y organizativas apropiadas al riesgo, dado que el cumplimiento posterior de dichas medidas no exime de responsabilidad respecto a los hechos iniciales. Por todo ello, concluye que A.A.A. no contaba, en la fecha de los hechos, con medidas técnicas y organizativas suficientes para garantizar la seguridad, integridad y trazabilidad de los datos personales sensibles de la reclamante, constituyendo infracción del artículo 32 del RGPD.