Resoluciones Relevantes Julio 2025

La reclamante denuncia que, en el marco de un proceso de selección para trabajar en PLATAFORMA CABANILLAS, recibió un correo en el que se le requería aportar un certificado de antecedentes penales como condición para realizar la entrevista. Además, durante dicha entrevista, se le entregó un formulario solicitando su estado civil y el número de hijos con la finalidad de cumplimentar el modelo 145. La empresa ha reconocido estos hechos en su respuesta a los requerimientos de la Agencia. PLATAFORMA CABANILLAS justifica la solicitud del certificado en base al Reglamento de Ejecución (UE) 2015/1998, relativo a normas de seguridad aérea, que establece la necesidad de verificación de antecedentes a quienes trabajen en zonas restringidas de seguridad, como las de carga aérea; insistiendo en que no existió intención discriminatoria ni vulneración de la normativa, al entender que actuó amparada por la legislación sectorial en materia de seguridad aérea.

- Respecto a la solicitud del certificado negativo de antecedentes penales: la AEPD matiza que el citado Reglamento se refiere expresamente a “personas seleccionadas”, es decir, aquellas que ya han sido contratadas o van a serlo, no a aspirantes en fase de entrevista. Por tanto, exigir esta documentación antes de que se formalice una relación laboral no se considera una práctica adecuada, ni limitada a lo necesario en los términos del artículo 5.1.c) del RGPD. Por tanto, la normativa citada no habilita la solicitud de antecedentes penales a personas que se encuentran únicamente en fase de evaluación. Además, según se desprende de sus propias alegaciones, la empresa conocía las exigencias normativas, lo que revela una actuación negligente al solicitar dicha información sin base legal suficiente.

Por tanto, aunque existe una norma que permite tal tratamiento en determinados casos, esta debe aplicarse únicamente a quienes vayan a ser contratados y no a cualquier participante en un proceso selectivo, máxime teniendo en consideración que los antecedentes penales constituyen datos personales especialmente protegidos en virtud del artículo 10 del RGPD, por lo que su tratamiento requiere una habilitación legal específica.

- Sobre la solicitud de datos para el modelo 145 de los candidatos:  En este sentido, y de forma similar a lo anteriormente descrito, la AEPD reitera que dicho modelo se prevé que sea cumplimentado por trabajadores ya contratados, en este caso por su condición de perceptores de rentas del trabajo. Por tanto, la solicitud de información personal para la cumplimentación del modelo 145 en fase de entrevista resulta contraria al principio de minimización de datos, al no ser adecuada ni necesaria en esa fase del procedimiento. Por ello, cuesta entender la alegada eficiencia por PLATAFORMA CABANILLAS, por cuanto dicha exigencia obligaba a recabar los datos de todos los participantes a la entrevista, mientras que si solo se recabase al inicio de la relación laboral, únicamente se exigiría al candidato o candidatos seleccionados.

La reclamante manifiesta que, a través de la Guardia Civil, tuvo conocimiento de que su hija menor había sido grabada por un profesor del Colegio Virgen de Europa y de que parte de esos archivos apareció abandonada en una carretera mientras el resto se halló en el domicilio del docente. Según la reclamación, la captura de imágenes fue realizada sin conocimiento ni consentimiento de los progenitores y sin la observancia del más mínimo protocolo de custodia de los archivos. Considera además que se habría vulnerado el principio de transparencia del tratamiento al haberse captado las imágenes sin informar  previamente a los afectados y por este desconocimiento tampoco ha podido ejercer sus derechos respecto de los datos. Con motivo de tales hechos, se determina por la AEPD la infracción de múltiples apartados de la normativa de protección de datos:

- Sobre la confidencialidad y seguridad del tratamiento: Consta una brecha de datos personales, al haberse producido el acceso por parte de un tercero no autorizado a grabaciones audiovisuales de menores, entre ellos la hija de la reclamante. El dispositivo contenía imágenes captadas por el centro educativo y, por tanto, sometidas a su responsabilidad como Responsable. El Colegio indicó que existía una autorización general, firmada en 2018, que permitía al docente extraer dispositivos con grabaciones fuera del centro. No obstante, también afirmó que “no se ha producido ninguna autorización” para la salida de soportes audiovisuales durante los ejercicios correspondientes, lo que supone una evidente contradicción. En cualquier caso, no se acredita la existencia de un sistema de registro que permitiera controlar en qué momentos y qué personas podían extraer dispositivos con datos personales, ni qué contenidos fueron almacenados o cuál era su ubicación final. La ausencia de control documental o técnico en la salida de soportes, así como la autorización del Colegio sin limitación temporal ni control efectivo constituye una omisión grave de las medidas de seguridad.

- Sobre la base de legitimación del tratamiento: Inicialmente, el Colegio afirmó que el tratamiento de imágenes se legitimaba por el consentimiento de los progenitores, recabado en el momento de la matrícula, aportando un documento titulado “Registro y reserva de plaza”, con una cláusula general de autorización de uso de imagen acompañada de dos casillas (sí/no). Posteriormente, al ser requerido para acreditar el consentimiento de la reclamante, el centro modificó su posición y señaló que el tratamiento se amparaba en el cumplimiento de una misión realizada en interés público, al tratarse de imágenes generadas en el marco de la función educativa, si bien no se hace menciona ninguna norma concreta que habilite la captación sistemática de imágenes sin consentimiento. Aun así, añadió que sí se habría recabado consentimiento para otros usos, como la promoción del centro; pero el centro no acreditó en ningún momento que contara con un consentimiento válido, expreso y documentado de los progenitores de la menor para la captación y tratamiento de sus imágenes, sin que aportara matrículas firmadas ni formularios correspondientes a los cursos académicos en los que se realizaron las grabaciones, lo que impide verificar el consentimiento informado y específico exigido por la normativa.

- Sobre el deber de información: Por último, el Colegio declaró haber cumplido con el deber de información a través de la matrícula, la plataforma educativa Classroom, correos electrónicos y la página web corporativa. Sin embargo, en toda la documentación aportada no se hace referencia expresa a la captación de imágenes mediante grabaciones audiovisuales ni a su finalidad; ni se informa del plazo de conservación, ni de los criterios utilizados para determinarlo, ni de la posibilidad de retirar el consentimiento sobre la licitud del tratamiento; ni consta información sobre los destinatarios del tratamiento ni sobre el derecho a presentar una reclamación ante la AEPD, incumpliendo con ello el contenido mínimo del que se exige informar

El reclamante denuncia la recepción de llamada automática en su línea de teléfono desde el número de teléfono de ADVERBIS. Después de recibir la llamada automática, la reclamante marcó la opción “1” para hablar con la operadora, para solicitar que cesaran esa clase de llamadas. Junto a la notificación, aporta la parte reclamante un extracto de pantalla de su teléfono móvil, donde aparece una llamada del número de ADVERBIS, así como una factura a su nombre de línea telefónica del número y un extracto de pantalla de la inclusión de este mismo número en la Lista Robinson.

Por parte de ADVERBIS, se alega que el nombre y teléfono del reclamante aparecen en repertorios públicos como las páginas amarillas y también en YouTube, ofreciendo sus servicios, por lo que tendría el carácter de empresa, que su nombre no aparece en la Lista Robinson y que ADVERBIS ha cumplido con los preceptos de protección de datos para llamadas comerciales, de conformidad con la nueva redacción de la Ley General de Telecomunicaciones. Alega también ausencia de la naturaleza comercial de la llamada, teniendo un propósito legítimo y profesional, dirigido a explorar una posible colaboración en el ámbito del marketing digital; no siendo una comunicación comercial destinada a vender productos o servicios a consumidores finales, sino de una consulta profesional legítima. Además, indica que la Lista Robinson protege contra comunicaciones publicitarias no deseadas dirigidas a consumidores finales, no impide las comunicaciones profesionales legítimas.

La AEPD indica que ADVERBIS dedica numerosas páginas a justificar la legitimidad de sus llamadas comerciales, pero si la finalidad de la llamada de ADVERBIS hubiera sido efectivamente contratar los servicios del reclamante, este argumento habría sido el único esgrimido desde el primer momento y quedando así aclarada la naturaleza de la llamada.

Por otra parte, ADVERBIS indica que el reclamante tiene su número de teléfono y otros datos de contacto listados en varios directorios públicos y plataformas profesionales (Páginas Amarillas, imorillas.com, X, Facebook, YouTube, y iVoox). Esta amplia presencia pública indica una disposición y expectativa razonable de recibir contactos relacionados con su actividad profesional. Sin embargo, la AEPD recuerda que la presencia pública del reclamante en sitios de Internet ofreciendo sus servicios y la expectativa razonable de contacto alegada por ADVERBIS sólo se aplica a tratamientos referidos al reclamante únicamente como empresario individual para contratar sus servicios, y no para entablar una relación como persona física.

ADVERBIS mantiene que la imposibilidad de establecer comunicación directa con el reclamante refuerza su posición de que no se produjo una intrusión en la privacidad del reclamante, ni una comunicación comercial no deseada. Pero tampoco resulta plausible que el reclamante presente una reclamación por una llamada comercial automática, si la verdadera finalidad de la llamada de ADVERBIS hubiera sido una toma de contacto para la contratación de sus servicios como profesional. Si la llamada no deseada recibida es de carácter comercial (automática o no), requiere el consentimiento previo del interesado, y recae sobre el responsable la carga de la prueba del otorgamiento del consentimiento necesario.

Por último, ADVERBIS trata de amparar el tratamiento en base al artículo 6 RGPD y 23 LOPDGDD, que permiten comunicaciones necesarias para la satisfacción de intereses legítimos del Responsable. Entiende la AEPD que lo que realmente alega ADVERBIS es la aplicación el artículo 19 LOPDGDD, sobre el tratamiento de datos de contacto de empresarios individuales para fines profesionales; y no el artículo 23 LOPDGDD, que se refiere a la licitud de los sistemas de exclusión publicitaria, argumento que no considera válido dado que se pretende excusarse y escudarse en el artículo 19 de la LOPDGDD, para la realización de una llamada comercial sin consentimiento, incluso a pesar de que el reclamante se encuentra en la Lista Robinson.

La reclamante A.A.A. denunció que la presidenta C.C.C. del bloque se presentó en su domicilio para recriminarle una serie de fechorías realizadas en los trasteros comunitarios, atribuidas a unos menores de entre 14 y 16 años residentes en la urbanización, entre los que se encontraban sus hijos. La presidenta le mostró varios vídeos que había recibido por WhatsApp de la presidenta de otro bloque, D.D.D, grabados con su móvil desde el monitor del sistema de videovigilancia de la zona de trasteros. Posteriormente, también recibió dichos vídeos a través de la aplicación de mensajería. En ellos, se observaba a los menores jugando al escondite y colocando piedras en una puerta para impedir su cierre. Paralelamente, E.E.E. presentó reclamación ante la Agencia por hechos similares, indicando que recibió dos correos electrónicos de D.D.D. acusando a varios menores —entre ellos su hija— de causar daños en los trasteros. En uno de esos correos se adjuntaban vídeos extraídos del sistema de videovigilancia, donde, además de las imágenes, se escuchaban las voces de la presidenta y su marido mientras grababan con su teléfono móvil. Añadió que ese mismo día su esposa recibió un audio por WhatsApp de C.C.C. con acusaciones similares. Ambos reclamantes aportaron un documento firmado por la empresa responsable de las cámaras de seguridad, donde se indicaba que, desde mayo de 2023, prestaban el servicio de videovigilancia en la urbanización, afirmando que las presidentas de los bloques contactaron con la empresa tras diversos actos vandálicos. El visionado de imágenes se realizó en presencia de D.D.D., a quien se advirtió expresamente que no se podían grabar vídeos ni tomar fotografías. El 17 de agosto, tras un nuevo requerimiento, la empresa entregó a D.D.D. un pen drive con las imágenes extraídas, indicándole por escrito que, desde ese momento, los datos pasaban también a ser de su responsabilidad.

Por su parte, la Comunidad de Propietarios reconoció la existencia de cámaras en zonas comunes (garaje, portales, trasteros, pasillos), todas ellas señalizadas. Explicó que, ante quejas vecinales por daños y molestias —como golpes a puertas o lanzamiento de objetos—, se solicitó a la empresa de seguridad la extracción de imágenes concretas de los días 15 y 16 de agosto. En dichas grabaciones se observaban a cinco menores (entre ellos, la hija de E.E.E. y los hijos de A.A.A.) accediendo por el garaje y realizando actos vandálicos. Las imágenes se remitieron exclusivamente a los padres de los menores identificados, con el fin de que adoptaran medidas sin necesidad de recurrir a vías judiciales.

En las reclamaciones presentadas, A.A.A. y E.E.E. planteaban dos cuestiones: la difusión entre vecinos de los vídeos grabados por las cámaras y la grabación de dichos vídeos mediante dispositivos móviles, en los que se escuchaban voces de terceros. Sobre la primera, la presidenta reconoció haber enviado los vídeos únicamente a los padres de los menores implicados, con la finalidad de que tuvieran conocimiento de los hechos. No se han aportado pruebas que acrediten una difusión generalizada entre los vecinos. La información disponible muestra un envío dirigido exclusivamente a A.A.A. mediante WhatsApp, y a E.E.E. a través de correo electrónico con destinatario único. En cuanto a la segunda cuestión, si bien los vídeos parecen haber sido grabados con un móvil, se ha acreditado que fue la empresa de seguridad quien extrajo las imágenes del sistema tras requerimiento de la presidenta, y que así lo reconocen ambas partes. La empresa confirmó que los datos fueron entregados bajo firma a D.D.D., asumiendo esta última su responsabilidad en el uso posterior de los mismos.

En conclusión, no se han hallado evidencias suficientes que acrediten una difusión indebida de los datos personales ni una utilización ilícita de los sistemas de videovigilancia imputable a la Comunidad de Propietarios.

La reclamante expone que se sometió a un reconocimiento médico y que obtuvo los resultados de este sin ninguna incidencia. No obstante, unos días más tarde recibió una llamada telefónica de un compañero de trabajo para advertirle de que había accedido a través de la web del Servicio de Prevención de VALORA para descargar los resultados de su reconocimiento médico y que al abrir el documento descargado, advirtió que, adjunto a su reconocimiento, figuraban anexas las pruebas médicas complementarias que se habían realizado a la reclamante. Aporta, entre otros, copia del resultado del reconocimiento médico de su compañero con las pruebas médicas complementarias que se habían realizado al reclamante, correo electrónico del DPD de VALORA PREVENCIÓN reconociendo el error y comunicando su subsanación.

Por parte de VALORA se comunica a la AEPD que tras la investigación de los hechos ocurridos se constata que el reconocimiento médico se ha realizado en un centro sanitario externo, y al mecanizar manualmente por parte del sanitario de VALORA los datos en su sistema y escanear las pruebas complementarias de la reclamante, se incorporaron erróneamente al reconocimiento médico de su compañero debido a un error humano. Por parte del DPD se envió un correo electrónico a ambos disculpándose e informándoles del incidente ocurrido, las medidas de contención aplicadas y solicitando la eliminación de la información contenida erróneamente.

Analizados los hechos, entiende la AEPD que se ha producido una falta de confidencialidad en el tratamiento de los datos de carácter personal, consecuencia de haber anexado el documento PDF con los resultados del reconocimiento médico de la reclamante a los resultados médicos de un tercero en la web del Servicio de Prevención y a los que este último tuvo acceso al proceder a la descarga del fichero. Ello se produjo por la ausencia o indebida implementación de medidas de técnicas y organizativas de todo tipo y que derivó en la pérdida de confidencialidad de los datos de la  reclamante. El principio de confidencialidad tiene como finalidad evitar que se realicen filtraciones de los datos personales no consentidas por los titulares de estos. Un incidente como el ocurrido puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales, y que pueden incluir la pérdida de control sobre sus datos personales, la restricción de sus derechos, la discriminación, la usurpación de identidad o fraude, las pérdidas financieras, la reversión no autorizada de la seudonimización, el daño para la reputación y la pérdida de confidencialidad de datos personales sujetos al secreto profesional, especialmente considerando que en este caso se trata de información de carácter médico. No obstante, pese a la quiebra de la confidencialidad, y revisada la documentación obrante en el expediente administrativo, la AEPD considera que no se ha producido una conculcación del artículo 32 de RGPD, al no haberse acreditado la ausencia de otras medidas técnicas y organizativas de seguridad independientes de las que están relacionadas con la pérdida de confidencialidad .

Por la AEPD se dictó resolución en el procedimiento de ejercicio de derechos del expediente número EXP202315972 seguido TRIVE CREDIT SPAIN, S.L. En dicho procedimiento, la reclamante ejerció derecho de acceso de los datos personales que le conciernen, sin que dicha solicitud resultara debidamente atendida, dictándose resolución en la que se estimaba la reclamación formulada, y se instaba a TRIVE para que remitiera a la reclamante certificación en la que se atienda el derecho solicitado o se deniegue motivadamente, debiendo informar a la AEPD de las medidas adoptadas. Transcurrido el plazo otorgado, y habiendo presentado la reclamante escrito donde manifestaba que la resolución no se había cumplido, se remitió por dos veces a TRIVE un requerimiento para que remitiera a la parte reclamante certificación del cumplimiento de dicha resolución y, en el plazo de diez días hábiles, notificara a la Agencia las medidas adoptadas. Transcurrido el plazo de la resolución inicial y de los sucesivos requerimientos, TRIVE no ha remitido respuesta alguna a esta Agencia que acredite que ha atendido el derecho de acceso y supresión ejercido, o en su caso, que lo ha denegado motivadamente indicando las causas por las que no procede atender la petición, motivando el inicio del procedimiento sancionador por incumplimiento de resoluciones de la AEPD.

TRIVE manifiesta que el reclamante es un antiguo cliente que ha iniciado acciones judiciales y administrativas contra la entidad, incluyendo múltiples llamadas, reclamaciones ante la AEPD y dos demandas judiciales; denunciando un "abuso de derecho" por parte del interesado. En 2023, el reclamante ejercitó en tres ocasiones el derecho de acceso, incluyendo la petición que dio lugar al presente procedimiento. Según TRIVE, esa solicitud ya había sido atendida con anterioridad el mismo día, y la reiteración fue enviada apenas cuatro minutos después en un nuevo hilo de correo. La empresa alega que el reclamante omitió esa información en su denuncia ante la AEPD. Asimismo, manifiesta la confusión derivada de dos procedimientos ante la AEPD iniciados por reclamaciones similares del mismo interesado, siendo tramitados de forma paralela y con requerimientos similares, lo que indujo a error a TRIVE al considerar que ambos procedimientos eran uno solo, y que la respuesta dada al requerimiento del segundo era suficiente para ambos. De hecho, también ha ocasionado confusión en la propia Agencia, que atribuyó hechos del otro Procedimiento sancionador al actual, por lo que la confusión ha sido objetiva, y que su actuación fue diligente en todo momento. Además, considera del todo desproporcionada la multa inicialmente propuesta por la AEPD de 450.000 euros, por exceder el 40% de sus beneficios anuales de 2023. La AEPD, sin embargo, indica que la base del procedimiento es el incumplimiento de una resolución firme, que requirió a TRIVE certificar la atención al derecho de acceso ejercido por el reclamante. La empresa fue notificada en dos ocasiones y no respondió antes del inicio del procedimiento. La firmeza y ejecutividad de dicha resolución obliga a su cumplimiento, sin que puedan revisarse en este momento sus contenidos ni justificarse el incumplimiento alegando error o confusión. Asimismo, recuerda que, aunque la culpabilidad es necesaria para la imposición de sanciones, en el caso de personas jurídicas debe demostrarse la diligencia debida para excluirla. En este caso, la existencia de protocolos internos no exime a TRIVE de su obligación de cumplir con una resolución firme, ni puede considerarse atenuante el cumplimiento tardío o parcial. El principio de responsabilidad proactiva obliga a garantizar el cumplimiento normativo en todo momento.

Finalmente, si bien la AEPD rechaza los argumentos de proporcionalidad invocados, si revisa el importe de la sanción para adecuarla a la capacidad económica real de la empresa, reduciéndola a 225.000 euros.

El reclamante reclama ante la AEPD contra el responsable del sitio web https://es.wallapop.com/, refiriendo la utilización de cookies sin recabar adecuadamente el consentimiento del usuario ni ofrecer mecanismos efectivos para su rechazo o gestión. El reclamante señala que, incluso tras rechazar expresamente las cookies, se almacenan en su dispositivo cookies de terceros sin su autorización. Aporta como prueba un correo enviado a privacidad@wallapop.com, en el que indica que tras registrarse en la web y rechazar las cookies, detecta la instalación de cookies de terceros. La respuesta de Wallapop se limita a señalar que la gestión de cookies depende de la configuración del dispositivo, sin ofrecer información adicional.

Por parte de la AEPD, se accedió a la web de Wallapop tras eliminar el historial de navegación y las cookies del navegador, se pudo comprobar varias deficiencias:

- Sobre la instalación de cookies previas al consentimiento: se observa que, sin realizar ninguna acción sobre la página ni aceptar cookies, se instalaban además de cookies técnicas, cookies analíticas o de rendimiento (como _ga; _ga_XXX; rl_anonymous_id) y de segmentación o publicidad (como MPID; rs_braze_dedup_attributes; rl_page_init_referrer).  

- Sobre la aceptación y rechazo de cookies: al acceder a la web por primera vez, se muestra un banner con opciones para aceptar todas las cookies, rechazar todas o personalizar la configuración. Se comprobó que al pulsar “Aceptar todo”, la web instala nuevas cookies, tanto propias como de terceros. Al seleccionar “Rechazar todo”, la web continúa utilizando las mismas cookies detectadas al inicio de la sesión, incluyendo algunas no técnicas. Al acceder a la opción “Configurar”, el panel de control muestra los grupos de cookies premarcados en la opción “OFF”. Sin embargo, al aplicar la opción “Rechazar todo” desde dicho panel, las cookies ya instaladas permanecen activas y se añaden nuevas cookies de terceros.

- Sobre la revocación o modificación del consentimiento inicialmente otorgado: Aunque la política de cookies del sitio proporciona información básica sobre qué son las cookies, sus finalidades, tipos y cómo pueden ser gestionadas desde el navegador, se constata que el panel de control no permite eliminar las cookies ya instaladas, lo que impide modificar efectivamente el consentimiento prestado durante la navegación. Asimismo, los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento de forma fácil. A tal fin, el editor deberá asegurarse de que facilita información a los usuarios en su política de cookies sobre cómo pueden retirar el consentimiento. Se considerará que esa facilidad existe, por ejemplo, cuando el usuario tenga acceso sencillo y permanente al sistema de gestión o configuración de las cookies. Y en el presente caso, no es posible modificar el consentimiento prestado a la utilización de cookies no técnicas o no necesarias en cualquier momento de la navegación web pues no existe ningún enlace permanente que redirija al usuario al panel de control

El denunciante presentó ante la AEPD una denuncia contra AUDITORES DE TRATAMIENTOS DE DATOS, S.L. (PRODAT Valencia), afirmando haber trabajado allí, siendo testigo de la elaboración de un documento genérico de Evaluación de Impacto en Protección de Datos (EIPD) con datos inventados. Según su declaración, este documento se envió al menos a 30 entidades que utilizaban sistemas de control horario mediante huella dactilar, con intención de remitirlo a más. El denunciante asegura haber informado a estas entidades sobre lo ocurrido e indica que el documento contenía un campo denominado "ACCOUNTS.ACCOUNTNAME", en el que se introducía el nombre de cada entidad destinataria. Además, señala disponer de una grabación de audio en la que uno de los responsables de la empresa reconocería la falsedad del documento y la estrategia de simular un análisis de riesgos previo si alguna empresa lo solicitaba. Aporta como prueba el documento EIPD en cuestión, titulado “Análisis de Riesgos – Evaluación de Impacto de Privacidad. Tratamiento de datos de registro de jornada mediante huella dactilar”, el cual contiene múltiples campos genéricos diseñados para su posterior personalización. Este documento refleja un modelo general para evaluar el tratamiento de huellas digitales con fines de control horario. Contiene elementos comunes para este tipo de tratamiento, aunque susceptibles de particularización según el caso. Su estructura evidencia que se trata de una plantilla adaptable, con campos pendientes de completar según las características del cliente.

La AEPD requirió información a cinco de las entidades señaladas en la reclamación, seleccionadas aleatoriamente, solicitando datos sobre el número de empleados, el sistema de control horario empleado y la existencia de EIPD facilitadas por PRODAT. Las cinco manifestaron no utilizar sistemas de control horario mediante huella digital u otros datos biométricos y, en consecuencia, no haber requerido ni realizado una EIPD. Por su parte, PRODAT informó a la Agencia, a iniciativa propia, que tuvo conocimiento de la reclamación a través de sus clientes, quienes habían recibido comunicaciones del denunciante tras haber finalizado su relación laboral con la entidad. PRODAT sostiene que la reclamación tiene un único objetivo: dañar su reputación, y señala haber iniciado acciones legales contra el denunciante por este motivo.

De acuerdo con la información aportada, las entidades destinatarias del documento serían Responsables al decidir sobre la implementación del sistema de control mediante huella. PRODAT, como entidad que únicamente asesora en materia de protección de datos, no habría actuado como encargado del tratamiento, al no haber tratado directamente datos personales por cuenta de las entidades. Para que la Agencia pueda apreciar una infracción en materia de protección de datos, debe quedar acreditado que se ha realizado un tratamiento de datos personales sin base jurídica válida o en contravención de los principios del RGPD, y que dicho tratamiento es atribuible a un responsable o encargado identificado. El documento aportado por el denunciante, al contener campos genéricos sin completar, evidencia que se trata de un modelo susceptible de adaptación, pero no prueba que el tratamiento descrito se hubiera implementado efectivamente en las entidades señaladas. Las empresas requeridas han confirmado no utilizar tecnologías biométricas para el control de jornada, empleando sistemas alternativos como tarjetas o códigos. Además, la participación de PRODAT se limitaría a la elaboración de documentos estándar y al asesoramiento técnico-jurídico, sin evidencia de que haya tratado datos personales en nombre de los responsables. Tampoco se ha acreditado la remisión de EIPD individualizadas a las entidades ni la realización efectiva de un tratamiento basado en el contenido de dichos documentos.

En consecuencia, no consta que se haya producido tratamiento de datos personales contrario al RGPD, ni que concurran indicios de infracción ni elementos que permitan atribuir responsabilidad a PRODAT en materia de protección de datos.

Por el TSJ de Cataluña se estimó el recurso de apelación, por la denuncia por la presunta cesión no consentida a la empresa TokApp Online, S.L. de datos personales del denunciante —correo electrónico y otros datos identificativos, de contacto y académicos— por parte del centro educativo de su hijo. La Sala revoca la Sentencia de primera instancia y la resolución de archivo de la Autoridad Catala de Protección de Datos. El TSJ no comparte que el centro educativo pudiera encomendar el tratamiento de datos a una empresa privada sin consentimiento del interesado, ni que existiera habilitación legal suficiente para ello en el artículo 6.1.e) del RGPD o en la disposición adicional 23ª de la LOE. Considera que el colegio ya disponía del correo electrónico como canal de comunicación autorizado por las familias, conforme a lo exigido legalmente al inicio de curso. El contrato con TokApp se firmó antes del estado de alarma, por lo que no cabe justificar la implantación de la aplicación por necesidades derivadas de la pandemia. Según consta en el expediente, se admitió que no se contaba con la autorización de las familias al momento de comenzar a utilizar la aplicación. La Instrucción 1/2020 de 12 de marzo no exigía contratar aplicaciones de terceros, sino simplemente mantener canales de comunicación no presenciales, que ya existían. Asimismo, la resolución de archivo resulta incongruente con otra dictada por la misma autoridad en relación con una denuncia similar del mismo denunciante, que sí dio lugar a expediente sancionador.

Por su parte, la Generalidad de Cataluña recurre en casación, alegando la infracción del artículo 6.1.e) del RGPD, del artículo 33.3 de la LOPDGDD y de la disposición adicional 23ª de la LOE, entendiendo que existe habilitación legal para el tratamiento de datos por parte de los centros educativos sin necesidad de consentimiento, cuando se trate de finalidades públicas como la comunicación con las familias. Considera que TokApp actúa como encargado del tratamiento, no como cesionario de datos, y que el uso previo del correo electrónico no impide al centro implantar nuevos canales. El debate jurídico en instancia se centró en si existía o no habilitación legal para la cesión de datos sin consentimiento y en la legitimación del denunciante para impugnar la decisión de archivo. La Sala de apelación concluyó que no se justifica el archivo y que el consentimiento era necesario conforme a la normativa, además de reconocer la legitimación del denunciante.

Por el contrario, la Generalidad sostiene que el artículo 6.1.e) del RGPD y la DA 23ª de la LOE permiten el tratamiento de datos sin consentimiento cuando concurren finalidades públicas propias de los centros docentes, y que el denunciante carece de legitimación para recurrir el archivo. El Tribunal Supremo considera que la cuestión relativa a la existencia de habilitación legal para el tratamiento de datos sin consentimiento presenta interés casacional objetivo para la formación de jurisprudencia, al no existir pronunciamientos previos sobre la cuestión planteada.

En consecuencia, se admite a trámite el recurso de casación y se declara como cuestión de interés casacional la siguiente: determinar si el artículo 6.1.e) del RGPD y la disposición adicional 23ª de la LOE habilitan a un centro educativo para encargar a una empresa el tratamiento de datos personales con fines de comunicación con las familias, sin necesidad de consentimiento de los progenitores, y si ello se ve afectado por la existencia previa de autorización para el uso del correo electrónico como canal de comunicación. Los preceptos objeto de interpretación serán, en principio, el artículo 6.1.e) del RGPD, el artículo 33.3 de la LOPDGDD y la disposición adicional 23ª de la LOE, sin perjuicio de que puedan incorporarse otros si así lo exige el desarrollo del proceso.

La reclamante manifiesta que dio sus datos personales a ADNAYA GREEN SOLUTIONS, S.L. para la gestión de subvenciones para la instalación de placas solares. En fecha 08/04/2024 recibe una carta de Gestoría de Subvenciones S.L. en el que le informan de la quiebra de ADNAYA GREEN y se ofrecen a gestionar su subvención. Posteriormente, mediante correo electrónico de fecha 09/04/2024, ADNAYA GREEN informa al reclamante sobre la presentación de preconcurso forzoso. Ante dicha situación el reclamante solicita a GESTORIA DE SUBVENCIONES SL información acerca de cómo han obtenido su dirección de correo electrónico. En respuesta, se le informa que esa información le habría sido proporcionada por ADNAYA GREEN, indicando que la gestoría trabaja con Green Solutions y tramitaban algunas subvenciones de clientes suyos, teniendo una lista compartida de todos los clientes, de la cual les asignaban los que tenían que gestionar nosotros. De ahí es de donde tenemos los datos del resto de clientes que no gestionamos En ningún apartado consta que se haya autorizado por el reclamante a la comunicación de sus datos.

Cabe destacar que, si bien el primer correo electrónico remitido por GESTORIA DE SUBVENCIONES SL el 08/04/2024 ya se hacía eco de la situación de quiebra en la que se encontraba ADNAYA GREEN, la comunicación formal por parte de ésta de su situación de preconcurso forzado se produjo al día siguiente. Por lo tanto, GESTORIA DE SUBVENCIONES SL tenía los datos del reclamante, por habérselos suministrado ADNAYA GREEN, antes incluso de que ésta se comunicara con sus clientes, entre ellos, el reclamante. De la contestación remitida por GESTORIA DE SUBVENCIONES, consta, por lo tanto, que ADNAYA GREEN proporcionó los datos del reclamante- al menos, su nombre, apellidos y dirección de correo electrónico y, posiblemente, otros datos relacionados con la gestión de la subvención contratada, como el DNI- a un tercero, en este caso, GESTORIA DE SUBVENCIONES SL. Según estas evidencias, el tratamiento de estos datos consistente en la cesión a un tercero se habría realizado sin que conste base de legitimación para el mismo.

Por parte de una trabajadora se presentó demanda contra Web Tribu, S.L en la que suplicaba esencialmente que el despido disciplinario del que afirmaba había sido objeto, se declarase nulo por vulneración del derecho fundamental a la intimidad personal. La sentencia de instancia calificó el despido como procedente al apreciar una transgresión de la buena fe contractual por parte de la trabajadora, que utilizó para fines propios los medios informáticos facilitados por la empresa incurriendo en competencia desleal. La carta de despido alegaba uso indebido de los equipos informáticos de la empresa para realizar trabajos personales durante la jornada laboral, almacenaje de archivos sin autorización en el servidor corporativo, y captación de clientes para actividades ajenas y en competencia con la empresa. Se alegó también vulneración de datos personales de clientes.

La trabajadora sostuvo que no existía protocolo específico sobre el uso del ordenador ni se le había informado del mismo, por lo que no podía considerarse infringido. El TSJ, sin embargo, apreció que sí existía información proporcionada al respecto, y que la trabajadora conocía tanto la prohibición de usos personales como la posibilidad de control por parte del técnico informático, quien accedía regularmente a los equipos con fines de mantenimiento. En cuanto al control ejercido, se consideró ajustado a Derecho, ya que fue motivado por necesidades técnicas (optimización del servidor), limitado en el tiempo, y realizado a través de medios de la empresa (ordenador y servidor corporativo), sin afectar a dispositivos o archivos personales. La medida fue proporcional, necesaria y respetuosa con la dignidad de la trabajadora. El hallazgo de carpetas ocultas con material ajeno a la actividad laboral fue considerado indicio suficiente de uso indebido de los medios informáticos.

El TSJ valoró que la actuación de la empresa se encuadra en el ejercicio legítimo del poder de control reconocido en el art. 20.3 del ET, y que no hubo vulneración del derecho a la intimidad conforme al art. 18 CE, en tanto la expectativa de confidencialidad en el uso de dispositivos digitales queda limitada cuando se trata de equipos corporativos y existe información previa sobre el control posible. La actuación se consideró conforme a los criterios del Tribunal Supremo y del Tribunal Constitucional en relación con el uso de medios digitales en el entorno laboral y la protección de datos personales. Respecto a la imputación de vulneración de datos personales, si bien la sentencia no profundiza en hechos concretos sobre accesos indebidos o tratamientos ilegítimos, sí recoge que la trabajadora habría utilizado datos de clientes de la empresa para fines particulares. El Tribunal consideró que esa conducta, en caso de ser cierta, constituiría un incumplimiento grave del deber de fidelidad y podría comprometer la responsabilidad de la empresa ante terceros, justificación que refuerza la procedencia del despido.

En base a todo lo anterior, se entiende que el acceso a la información contenida en el ordenador corporativo, servidor y otros elementos informáticos de titularidad empresarial fue legítimo, proporcionado, y no vulneró derechos fundamentales. La trabajadora conocía las condiciones de uso de estos medios y la posibilidad de control por parte del empleador, por lo que su conducta constituyó una transgresión de la buena fe contractual con suficiente entidad para justificar el despido, desestimándose el recurso.

El reclamante denuncia la utilización de cookies no técnicas y no necesarias en un sitio web, sin el consentimiento previo del usuario. En su escrito de contestación, la entidad reclamada afirma cumplir estrictamente con la normativa sobre protección de datos y uso de cookies. Sostiene que no instala cookies no exceptuadas sin consentimiento expreso, que el banner permite al usuario aceptar, rechazar o configurar cookies con libertad, y que su Política de Cookies ofrece información clara y accesible sobre cada una, incluyendo su finalidad, duración y terceros implicados. Añade que realiza revisiones periódicas del sistema y utiliza un gestor de consentimiento proporcionado por ***EMPRESA.1, conforme al RGPD y al Marco de Transparencia y Consentimiento (TCF) de IAB Europe.

Según su declaración, el sistema habilita mecanismos para aceptar o rechazar cookies desde el primer acceso, permite modificar o revocar el consentimiento en cualquier momento, y ofrece transparencia sobre los socios implicados, los tratamientos que realizan y si requieren consentimiento. Afirma que no realiza transferencias internacionales de datos directamente, aunque ***EMPRESA.1 utiliza servicios de ***HERRAMIENTA.1, con sede en Israel, amparados por la Decisión de la Comisión Europea. También indica que los periodos de conservación varían según la finalidad, lo que se refleja en su política. Junto al escrito se aporta: tabla de cookies utilizadas según su política, incluyendo cookies de Google Analytics, Facebook y Twitter, con finalidades analíticas y publicitarias. y una relación de cookies activas antes del consentimiento, entre ellas, cookies de Google Analytics.

No obstante, en la comprobación realizada por la AEPD el 08/01/2025 sobre el sitio web ***WEB.1 se detecta lo siguiente: Al acceder por primera vez, sin interacción alguna ni aceptación de cookies, se instalan cookies como “_ga” (Google Analytics) y “VISITOR_INFO1_LIVE” (YouTube). El banner inicial impide el acceso a la web y ofrece botones “Aceptar y continuar” y “Rechazar y pagar”. También se muestra un enlace a las políticas de privacidad y cookies. A pesar de utilizar los mecanismos habilitados para revocar el consentimiento, permanecen activas las cookies “_ga”, “_fbp” y “VISITOR_INFO1_LIVE”. La cookie “_ga” tiene finalidad analítica. “VISITOR_INFO1_LIVE”, según la propia web, tiene fines funcionales, de seguridad, analíticos y publicitarios. Esta última podría estar exenta únicamente si se utiliza para ajustar la reproducción del vídeo a la conexión del usuario, lo que no parece ser el caso.

El artículo 22.2 de la LSSI exige informar de manera clara y obtener el consentimiento antes de instalar cookies no exceptuadas. Solo están exentas aquellas necesarias para el funcionamiento técnico del servicio o para prestar un servicio expresamente solicitado por el usuario (como cookies de sesión, seguridad, carga de balanceo o ciertas personalizaciones). En este caso, se ha verificado que se instalan cookies no técnicas antes de que el usuario otorgue su consentimiento. Tras revocar o rechazar el consentimiento, las cookies permanecen activas, lo que impide al usuario ejercer efectivamente su elección. Estas prácticas evidencian deficiencias en el sistema de gestión de cookies de la web reclamada, al hacer uso de cookies no necesarias sin consentimiento previo y la imposibilidad de rechazarlas eficazmente. Dichos hechos podrían constituir una infracción del artículo 22.2 de la LSSI.

La reclamante manifiesta haber accedido, a través de la app “Fusión Solar”, no solo a sus propios datos (nombre, apellidos, DNI, dirección y detalles de la instalación), sino también a los de más de 1.000 clientes de Verne Telecom, S.L., empresa subcontratada por GALP ENERGÍA para instalaciones fotovoltaicas. Aporta un vídeo que muestra cómo accede a dichos datos. La cuenta utilizada parecía corresponder a un perfil de instalador.

Solicitada aclaraciones a GALP ENERGÍA (Galp Solar), manifiesta que ofrece servicios de instalación, mantenimiento y monitorización de paneles solares. Subcontrata a empresas como Verne Telecom (Verne), quien a su vez subcontrata a empresas para la instalación de equipos. En este caso, el reclamante contrató el servicio con GALP ENERGÍA, y la instalación fue realizada por Verne. El incidente se produjo cuando, tras solicitar acceso a la app para consultar su consumo, el técnico de Electrotec le proporcionó por error las credenciales generales de Verne en lugar de gestionar el alta como usuario individual. Con estas credenciales, el reclamante accedió a 1.214 perfiles de clientes asignados a Verne, visualizando datos como nombre, dirección y consumo eléctrico. Según Verne, el error fue causado por un técnico que ya no trabaja en la empresa. Indican que las contraseñas se modifican periódicamente y que, en este caso, el acceso indebido quedó revocado tras el cambio de claves del 9 de agosto, antes de que tuvieran conocimiento del incidente. También señalan que no notificaron la brecha a los afectados por no considerarse de alto riesgo, al haber sido cometida por una sola persona y limitada en el tiempo. Tanto Verne como GALP afirman contar con medidas de seguridad: contratos con encargados del tratamiento, control de accesos y restricciones de usuarios. Verne ha reforzado la formación en protección de datos y rescindido la empresa.

La AEPD concluye que el acceso indebido fue posible por una deficiente gestión de los perfiles de usuario y credenciales de acceso en la app “Fusión Solar”. En concreto, la falta de segregación de accesos por perfil permitió al técnico disponer de las credenciales generales y entregarlas al cliente, sin restricciones temporales ni de funcionalidad. La brecha pone de manifiesto carencias estructurales en el sistema de GALP ENERGÍA, responsable del tratamiento, quien no implementó medidas técnicas y organizativas adecuadas según los riesgos previsibles, tal y como exige el art. 32 del RGPD. En particular, no se previó el riesgo de error humano en el proceso de alta de usuarios, ni se adoptaron medidas para mitigarlo (como el uso de credenciales individuales o accesos limitados por rol). La responsabilidad de GALP no queda eximida por tratarse de una acción de un subcontratista de su encargado del tratamiento, ya que, conforme al artículo 28.1 del RGPD, corresponde al responsable del tratamiento elegir solo encargados que ofrezcan garantías suficientes, así como supervisar adecuadamente su actuación. Del mismo modo, la Audiencia Nacional ha sostenido que el responsable debe controlar el cumplimiento de la normativa por parte de sus colaboradores y demostrarlo conforme al principio de responsabilidad proactiva. En este caso, el acceso concedido por el técnico comprometió los datos personales de 1.214 clientes. El diseño del sistema de GALP permitía que los técnicos usaran credenciales corporativas, sin segmentación por usuario ni limitación de acceso a datos estrictamente necesarios para sus funciones. Además, GALP no acreditó medidas específicas de control o auditoría sobre dichos accesos. Ahora bien, no se ha acreditado la ausencia de otras medidas técnicas y organizativas de seguridad distintas de las directamente relacionadas con la producción de la brecha de datos, por lo que se archiva la infracción del art. 32 RGPD.

La reclamante manifiesta que realizó una compra online y que GLS era la empresa encargada de gestionar la entrega del correspondiente paquete a la reclamante. Al no tener noticias del paquete, se puso en contacto con la entidad remitente del paquete, quienes le indicaron que la entidad reclamada había extraviado el paquete, por lo que procedían a remitir nuevamente otro paquete con su compra. Este nuevo envío fue entregado, sin su consentimiento, en un punto de recogida situado en un establecimiento público próximo a su vivienda, lo que supone la exposición de sus datos a terceros, sin mediar autorización para ello. Por parte de GLS se indica que cuenta con una extensa red de colaboradores en territorio nacional, entre la que se encuentran pequeños negocios locales, (en adelante, los “Parcelshops”) para el depósito de paquetes, de manera que se puedan derivar los mismos a sus establecimientos para su posterior recogida por parte del destinatario. La derivación al “Parcelshop” tiene lugar bien cuando el destinatario se encontrase ausente en la dirección indicada para la entrega, o bien cuando lo solicitan el propio destinatario o el remitente /cliente. GLS manifiesta que es el responsable del tratamiento y sus “Parcelshops” son los encargados de tratamiento de datos, y se incorporan a la red de establecimientos mediante un contrato de adhesión entre ambas partes. Los datos no escapan del ámbito de control del responsable, siendo únicamente accesibles por los encargados de tratamiento en la parte correspondiente y no se revelan a terceras partes. En ningún caso tiene el repartidor acceso a la base de datos. Por ello, concluye GLS que la autorización del destinario no resulta necesaria en este caso.

Analizado los hechos, la AEPD razona que, al disponer GLS de un contrato de depósito con el establecimiento en cuestión, (en cuyo ANEXO III, relativo a la protección de datos, se establece la condición de encargado del tratamiento, comprometiéndose, entre otras obligaciones, a guardar secreto profesional, así como a dar acceso a los datos a los empleados que estrictamente lo necesiten para la prestación del servicio, comprometiéndose incluso a firmar acuerdos de confidencialidad con sus empleados, en su caso), el establecimiento realiza el tratamiento de datos personales de la reclamante como encargado de GLS y en el marco de la relación contractual entre ambas, que recoge además los aspectos previstos en el artículo 28 del RGPD.

La entrega del paquete en el punto de recogida en su condición de encargado de GLS, no significa una exposición de los datos de la reclamante a terceros, porque dicho establecimiento actúa por encargo del responsable del tratamiento GSL y, en consecuencia, la actuación descrita por la reclamante es lícita y no infringe el principio de confidencialidad previsto en el artículo 5.1.f) del RGPD.

Por parte de la Autoridad Catalana de Protección de Datos se remite denuncia en la que la reclamante, que es vecino de A.A.A., manifiesta que ésta tiene instalado un sistema de videovigilancia orientado a la propiedad de la reclamante habiendo manifestado ésta, en reunión de Junta de Propietarios que no grababa a la propiedad de la reclamante, si bien, aporta video de captaciones realizadas por las cámaras, que contradice dichas manifestaciones. Por su parte, A.A.A. remite a la AEPD escrito de respuesta con el que se acompaña imagen del campo de visión de las cámaras; observándose que una de las cámaras del jardín que está orientada hacia la terraza de la vivienda de la reclamante a pesar de tener una máscara de privacidad, está captando la terraza, de tal forma que al ser la misma de cristal permite que se vea el interior de la misma. Lo que motivó el acuerdo de inicio de procedimiento sancionador. Ante la apertura del acuerdo, A.A.A. presenta nuevo escrito, alegando que la cámara se instaló por motivos de seguridad, dado que vive en un bajo, como elemento disuasorio frente a conductas incívicas del reclamante, habiendo sufrido durante cuatro años diversos actos vandálicos realizados desde la terraza de los reclamantes, indicando que las imágenes presentadas por el reclamante las ha obtenido en la fase de instrucción como parte denunciada.

Ante las alegaciones presentadas relativas a diversas conductas incívicas de la reclamante que hacen imposible la convivencia y que justifican la presencia de la cámara. La gravedad de los hechos descritos hacen aconsejable la presencia de los dispositivos de captación de imágenes, graduables según el impacto de las agresiones que a futuro se puedan producir. En este caso, debe existir una cierta afectación a la intimidad de los autores de las conductas descritas, cuyo comportamiento reiterado justifica la presencia de cámaras que parcialmente puedan incluso obtener imágenes de la terraza superior, de lo contrario los lanzamientos de objetos quedarían desprovistos de autoría material de los mismos.

Analizadas las alegaciones y pruebas aportadas, se considera que la medida adoptada es proporcionada a la gravedad del problema descrito, pues de ordenar la retirada de la cámara(s) se produciría una situación de indefensión latente de la parte reclamada y la generación de nuevos conflictos. El impacto de la medida desde el punto de visto de protección de datos se puede considerar mínimo dado que solo ocasionalmente puede grabar una parte de la terraza superior desde donde se lanzan objetos, fluidos o se esgrimen amenazas e insultos diversos, siendo los datos de los partes sobradamente conocidos por ambas a tenor de los diversos juicios que están manteniendo.

La reclamante denuncia la recepción de comunicaciones comerciales por parte de VODAFONE, tanto por correo electrónico como por SMS, a pesar de haber manifestado su oposición. Aporta como prueba varias comunicaciones electrónicas que no incluían mecanismos de oposición ni información sobre el ejercicio de derechos, así como un correo remitido al DPO de la entidad, en el que puso en conocimiento esta situación. VF reconoce que los mensajes fueron enviados y que el reclamante figuraba correctamente en su lista interna de exclusión. Alega que la inclusión en la campaña comercial se debió a un error puntual en el filtrado, pero posteriormente ofrece distintas versiones: primero atribuye el envío a un fallo técnico; luego, a un error en la base de datos que no reflejaba adecuadamente la oposición del reclamante; y, por último, a que su dirección de correo electrónico estaba asociada a otro cliente que sí consintió la recepción de comunicaciones. Aporta capturas de pantalla internas, que no reflejan el consentimiento expreso del interesado, ni acreditan la trazabilidad necesaria para considerar válidamente documentado el consentimiento conforme al RGPD.

En cualquier caso, aunque dicha explicación fuera cierta, ello no eximiría de responsabilidad, ya que el artículo 21.1 de la LSSI prohíbe el envío de comunicaciones comerciales sin autorización expresa, con independencia del motivo técnico que lo origine. Además, tras recibir la reclamación trasladada por la AEPD, VF reconoció la existencia del error, pero siguió enviando mensajes con posterioridad. En concreto, se acreditó el envío de varios correos electrónicos sin incluir mecanismos de oposición y, más adelante, diversos SMS con carácter publicitario. VF sostiene que para estos últimos contaba con consentimiento, basándose en registros de su sistema interno que muestran un cambio en las preferencias del cliente. Sin embargo, tales registros no acreditan que el consentimiento fuera otorgado de forma válida, ya que no reflejan ni el momento ni el contexto de la manifestación del interesado, ni el contenido aceptado, como exigen el RGPD y las directrices CEPD.

En relación con los correos electrónicos, VF no aporta ninguna prueba que permita acreditar la existencia de mecanismos de oposición en los mensajes concretos que motivaron la reclamación, limitándose a mostrar ejemplos genéricos no coincidentes. Tampoco justifica el envío de un correo posterior al traslado de la reclamación, cuando ya constaba la oposición del interesado. Por tanto, no se considera acreditada la diligencia debida en la gestión de preferencias de comunicación comercial, ni en la inclusión de mecanismos de baja en los envíos.

VF formula diversas alegaciones, entre ellas su adhesión al código de conducta de Autocontrol. Sin embargo, dicho código no figura entre los previstos en el artículo 18 de la LSSI como aptos para aplicar reducciones de sanción. También invoca la falta de intencionalidad y el corto periodo de la infracción. No obstante, el ordenamiento exige dolo o culpa para la imputabilidad, y en este caso al menos concurre negligencia grave, dado que se produjeron envíos tras la oposición expresa del interesado y sin mecanismos de oposición. Además, el artículo 40.a) de la LSSI no contempla como atenuante la ausencia de intencionalidad, sino que habilita a aumentar la sanción en caso de que esta exista.

Finalmente, respecto a la alegación relativa a la reincidencia, se recuerda que la existencia de una resolución previa cerrada por pago voluntario no impide considerar la existencia de una infracción previa, dado que el pago implica la terminación del procedimiento con imposición de sanción, y por tanto, la existencia de infracción. Asimismo, se aclara que, aunque en la propuesta de resolución se aludió erróneamente a cuatro correos sin mecanismo de oposición, el número correcto son tres, como ya constaba en los hechos probados

La reclamante manifiesta que, al realizar el registro de viajeros en las instalaciones de SUNERIS, S.A., se le solicitó el DNI para su escaneo. Ante su negativa, el personal del establecimiento copió sus datos manualmente desde el ordenador del hotel. Asimismo, denuncia que durante su estancia se olvidó en su habitación una tarjeta maestra con acceso a todas las habitaciones del hotel. SUNERIS, S.A. fue notificada electrónicamente, remitiéndose además una copia postal informativa en la que se le recordó su obligación de relacionarse electrónicamente con la Administración.

La actividad hotelera desarrollada por la entidad se encuentra sujeta al Real Decreto 933/2021 y a la Ley Orgánica 4/2015 de protección de la seguridad ciudadana. El artículo 4.3 del RD 933/2021 obliga a comprobar la exactitud de los datos personales de los huéspedes, pero no exige ni autoriza la obtención de copias ni el escaneo del documento de identidad. Existen métodos alternativos igualmente válidos para realizar dicha comprobación sin necesidad de recoger datos adicionales.

El escaneo del DNI supone un tratamiento de datos que excede lo previsto en el Anexo I.A del RD 933/2021, al acceder a información no requerida como la imagen del rostro, el número del equipo de expedición, nombres de progenitores, el CAN o la fecha de caducidad. La recogida de estos datos vulnera el principio de minimización del artículo 5.1.c) del RGPD, al no ser necesaria ni pertinente para la finalidad del tratamiento. El escaneo del DNI completo, además de ser excesivo, implica riesgos innecesarios como la suplantación de identidad.

SUNERIS, S.A. alega que escaneó el documento de identidad para enviarlo a las Fuerzas y Cuerpos de Seguridad. Sin embargo, la normativa aplicable exige únicamente la comunicación de determinados datos concretos: nombre, apellidos, tipo y número de documento, nacionalidad y fecha de nacimiento. El documento completo, por tanto, no resulta necesario ni idóneo para cumplir con las obligaciones impuestas por el RD 933/2021. Además, el propio DNI no contiene toda la información exigida por la norma, por lo que su escaneo tampoco garantiza el cumplimiento de la misma.

La finalidad del Real Decreto 933/2021 es contribuir a la seguridad ciudadana mediante la correcta identificación de los huéspedes, dada la relevancia del sector del alojamiento en el modus operandi delictivo. No obstante, el envío de una copia del documento no permite verificar con certeza la identidad del titular, por lo que no cumple adecuadamente esa finalidad.

La AEPD considera que el cumplimiento de las obligaciones del RD 933/2021 puede alcanzarse mediante la recogida de los datos exigidos a través de un formulario, cumplimentado presencialmente o en línea, sin necesidad de recabar copia del documento. La verificación puede realizarse, en caso de recogida presencial, mediante una simple comprobación visual entre el documento exhibido y los datos facilitados. En contextos digitales, pueden emplearse medios de autenticación como certificados electrónicos, verificación a través del medio de pago o el envío de códigos a dispositivos del huésped. La Agencia no excluye la existencia de otras fórmulas válidas, cuya idoneidad deberá ser evaluada por el responsable del tratamiento, siempre en consonancia con el principio de minimización de datos y el resto de obligaciones previstas en el RGPD. Por tanto, los hechos constituyen una infracción al haber llevado a cabo un tratamiento excesivo de datos personales sin justificación normativa suficiente.

La reclamante, ante las sospechas de haber sido víctima de una estafa, solicitó a la entidad ORANGE el ejercicio del derecho de acceso en relación con determinados datos vinculados a comunicaciones electrónicas: mensajes SMS enviados en fechas concretas, con inclusión de datos técnicos (emisor, IMEI del dispositivo receptor, hora, contenido del mensaje, etc.), así como los dispositivos conectados al rúter de una tercera persona (A.A.A.) en las mismas fechas, con detalle de parámetros técnicos como MAC, IMEI, sistema operativo o tiempos de conexión. Por parte de la AEPD, se limita a analizar la atención del derecho de acceso previsto en el artículo 15 del RGPD, quedando fuera otras cuestiones ajenas a la protección de datos, como la supuesta estafa mediante duplicado de tarjeta SIM. ORANGE alegó que el acceso a los datos solicitados se encuentra restringido por lo previsto en la Ley 25/2007, sobre conservación de datos relativos a las comunicaciones electrónicas, al estar dichos datos destinados exclusivamente a ser puestos a disposición de autoridades judiciales o policiales facultadas, previa autorización judicial.

Sin embargo, dicha interpretación no se ajusta a la normativa de protección de datos. Según las Directrices 1/2022 del Comité Europeo de Protección de Datos, el derecho de acceso no admite restricciones adicionales fuera de las previstas en el RGPD. En particular, el artículo 23 del RGPD establece que las limitaciones deben venir impuestas por norma con rango de ley, con sujeción al principio de proporcionalidad y necesidad. En el caso de la Ley 25/2007, si bien prevé que la cesión de los datos conservados solo puede realizarse previa autorización judicial, no contempla restricción alguna al ejercicio del derecho de acceso por parte del interesado. Únicamente se contienen las obvias precauciones de que al titular de los datos no tendrá que comunicársele la cesión de los mismos (cuestión obvia por tratarse de investigaciones penales), y que no podrá ejercerse el derecho de supresión.

El derecho de acceso, conforme al artículo 15.1 RGPD, se extiende a los datos personales que “conciernan al interesado”, incluyendo datos técnicos siempre que estén vinculados a una persona identificada o identificable. El responsable puede oponer restricciones únicamente cuando acredite que su ejercicio afecta negativamente a los derechos y libertades de terceros (art. 15.4 RGPD). Tal restricción no puede implicar una negativa absoluta, sino únicamente la exclusión o anonimización de los datos que pudieran afectar a terceros.

En consecuencia, la denegación del acceso no puede fundarse en la invocación genérica de la protección de datos de terceras personas sin justificación concreta. El responsable del tratamiento debe evaluar, caso por caso, si existen riesgos reales y específicos, y adoptar medidas técnicas para conciliar el derecho de acceso del interesado con los derechos de otros, recurriendo, por ejemplo, al bloqueo, la disociación o la supresión parcial de la información.

En cuanto al alcance de la solicitud, debe recordarse que el derecho de acceso es personal y limitado a los datos que conciernan directamente al solicitante, ya sea como titular o como usuario de la línea afectada. Cualquier información referida a terceras personas, incluidos dispositivos conectados a routers ajenos, no es accesible si no puede vincularse al interesado de forma directa. Del análisis de la documentación, ha quedado acreditado que ORANGE facilitó parte de la información solicitada, y respecto del resto, habilitó un medio electrónico para su consulta, al que la reclamante tuvo finalmente acceso. Por ello, se estima la reclamación por motivos formales, al haberse emitido la respuesta de forma extemporánea.

Con fecha 31 de enero de 2024, por la Directora de la Agencia Española de Protección de Datos se dictó resolución en el procedimiento de ejercicio de derechos del expediente número EXP202311848 seguido contra G&F&S SECURITY GROUP, S.L. En dicha actuación, consta que la parte reclamante ejerció derecho de acceso de los datos personales que le conciernen, sin que dicha solicitud resultara debidamente atendida, dictándose resolución en la que se estimaba la reclamación formulada por A.A.A. al considerar que se ha infringido lo dispuesto en el Artículo 15 del RGPD e instando a G&F&S para que, en el plazo de los diez días hábiles, remitiera a la reclamante certificación en la que se atienda el derecho solicitado o se deniegue motivadamente. La notificación de la resolución del procedimiento de ejercicio de derechos no fue recogida por el responsable dentro del plazo de puesta a disposición, como consta en el acuse de recibo que obra en el expediente, y entendiéndose por tanto efectuada conforme a lo previsto en los art. 43.2 y 41.5 de la LPACAP.

Transcurrido el plazo otorgado para que se realizaran las actuaciones requeridas en dicha resolución y habiendo presentado la reclamante escrito en el que manifestaba que la resolución no se había cumplido, se remitió por cuatro veces a G&F&S un requerimiento para que, en el plazo de cinco días hábiles, remitiera a la parte reclamante certificación del cumplimiento de dicha resolución y, en el plazo de diez días hábiles, notificara a esta Agencia las medidas adoptadas. Transcurrido el plazo de la resolución inicial y de los sucesivos requerimientos, G&F&S no ha remitido respuesta a esta Agencia que acredite que ha atendido el derecho de acceso ejercido o que lo ha denegado motivadamente indicando las causas por las que no procede atender la petición. A tenor de los hechos expuestos, se considera que G&F&S ha incumplido la resolución de la AEPD al no haber atendido la solicitud de ejercicio de derechos.

Los demandantes, propietarios y vecinos del demandado, interpusieron demanda manifestando que su casa se encuentra situada frente a la suya, a escasos 1,5 metros de distancia. Ambas comparten un rellano común con acceso al ascensor y escaleras. El edificio forma parte de un conjunto residencial cerrado con servicio de conserjería en horario de mañana y tarde de lunes a viernes.  En la puerta de la vivienda del demandado instalaron una mirilla electrónica que, además de funciones de visor, detecta movimiento, graba vídeo, toma instantáneas, permite comunicación con la persona situada frente a la puerta y transmite contenido vía wifi con almacenamiento en la nube. Cada vez que se abre la puerta de los demandantes, se activa el dispositivo con un clic y un piloto rojo durante unos segundos. Los demandantes solicitaron que se declarara que esta instalación suponía una intromisión ilegítima en su intimidad, que se retirara el dispositivo y se les indemnizara.

La sentencia de primera instancia estimó la demanda, considerando que el uso del dispositivo no respondía a necesidades reales de seguridad sino a la comodidad de los demandados, ausentes temporalmente y deseosos de controlar entregas. La distancia entre ambas puertas y la orientación de la cámara hacia la de los demandantes implicaba una captación continua y no accidental de imágenes, incluyendo entradas y salidas de personas y vistas parciales del interior de la vivienda. Se concluyó que se trataba de una afectación invasiva y desproporcionada del derecho a la intimidad. La Audiencia Provincial confirmó la sentencia y rechazó la apelación. Aunque los demandados alegaron que el dispositivo no graba por no tener tarjeta de memoria, reconocieron que puede hacerlo. La sentencia subrayó que el mero riesgo de captación de imágenes que afecten a la intimidad ya constituye una intromisión ilegítima, siendo irrelevante si en ese momento graba o no. Se asumió la doctrina ya consolidada por la jurisprudencia, que protege no solo la intimidad efectiva, sino la expectativa razonable de privacidad.

Por ello, el demandado recurre en casación alegando que no había expectativa de intimidad en un espacio común del edificio, que no existía invasión de la vida privada ni prueba de grabación. La Sala desestimó el recurso. El derecho a la intimidad garantiza un ámbito reservado de la vida personal y familiar, excluido del conocimiento o intromisión de terceros. La Ley Orgánica 1/1982 considera ilegítima la instalación o uso de dispositivos ópticos que permitan grabar o reproducir la vida íntima, incluso sin que llegue a realizarse una captación efectiva. Basta con que el aparato esté emplazado de forma que pueda captar imágenes de ámbitos íntimos o sus inmediaciones. En este caso, el dispositivo instalado permite la visualización e incluso potencialmente la grabación de quien se aproxima a la vivienda de los demandantes, activándose cada vez que alguien se aproxima o abre la puerta, dada la cercanía entre ambas. La imagen de la puerta de los demandantes y, en ocasiones, del interior de su vivienda, queda así al alcance de los demandados. La Sala reitera que el juicio de proporcionalidad debe aplicarse en estos casos. En este supuesto, no concurren necesidades de seguridad extraordinarias, el edificio está en un recinto cerrado con conserje, y no hay indicios de vandalismo o riesgo objetivo. La finalidad de la instalación no fue la protección de personas o bienes, sino la comodidad de los demandados. La afectación al derecho a la intimidad resulta, por tanto, desproporcionada. En consecuencia, se confirma que la instalación del dispositivo vulnera el derecho fundamental a la intimidad de los demandantes al permitir una vigilancia constante de su entrada y salida del domicilio, sin justificación suficiente ni garantías para evitar un uso intrusivo.

La reclamante denuncia que, para acceder al Outopia Festival 2024, la empresa organizadora VOLEA WORLD exigía a los menores de edad la firma de un documento por parte de su progenitor, tutor legal o adulto responsable, así como la entrega de copia del DNI de dicha persona. En dicho documento no constaban elementos esenciales de información en materia de protección de datos, como la identidad del responsable del tratamiento, la finalidad, el plazo de conservación, la base legitimadora, la existencia de cesiones o la forma de ejercer los derechos reconocidos por el RGPD. La documentación aportada incluye capturas de pantalla de la web de venta de entradas y de redes sociales, así como el formulario de autorización requerido. En él se recaban datos personales del adulto autorizante y del menor, y se exige expresamente acompañar el documento de autorización con copia del DNI, NIE o pasaporte del adulto. Además, se establece que, en caso de no presentarse la documentación solicitada, podrá denegarse la entrada y no se reembolsará el importe abonado. Por parte de VOLEA WORLD no se han presentado alegaciones.

Tras analizar la documentación, la Agencia estima que tal exigencia vulnera el principio de minimización de datos del artículo 5.1.c) del RGPD, que impone limitar la recogida de datos personales a los estrictamente necesarios para la finalidad perseguida. Las Directrices 4/2019 CEPD recuerdan que debe evitarse cualquier tratamiento si puede lograrse la misma finalidad por medios menos intrusivos. En este caso, no se acredita la necesidad de recabar copia del documento identificativo del adulto autorizante, especialmente cuando no se proporciona información sobre la finalidad del tratamiento, ni se detallan aspectos esenciales como la duración de la conservación o los derechos del interesado. Asimismo, el formulario incumple lo dispuesto en el artículo 13 del RGPD, al no informar de forma clara y accesible sobre el responsable del tratamiento, la base legal que lo justifica, los fines perseguidos, los destinatarios de los datos, la existencia de transferencias o la forma de ejercitar los derechos reconocidos al interesado. Esta omisión se agrava por el hecho de que el tratamiento afecta a datos relativos a menores de edad, considerados especialmente sensibles.

La AEPD destaca que, conforme al artículo 13 del RGPD, toda recogida de datos personales exige proporcionar información adecuada, transparente y fácilmente comprensible. La ausencia de dicha información supone una infracción autónoma del RGPD, sin perjuicio de otras posibles infracciones derivadas del carácter excesivo del tratamiento realizado. En consecuencia, a la vista de las pruebas disponibles y de la documentación obrante en el expediente, se concluye que VOLEA WORLD como empresa organizadora del Outopia Festival incurrió en un tratamiento de datos excesivo, contrario al principio de minimización del artículo 5.1.c) del RGPD, al requerir la aportación de copia del DNI del adulto autorizante sin justificar su necesidad; así como vulneró el artículo 13 del RGPD al no proporcionar la información exigida respecto del tratamiento de los datos personales recabados a través del formulario de autorización.