Resoluciones Relevantes Junio 2025

La reclamante manifestó haber trabajado para la entidad LVMH IBERIA S.L., y que, durante su relación laboral, se le exigió el uso de su teléfono móvil personal para fines laborales, ante la falta de entrega de un dispositivo corporativo que nunca llegó a recibir, a diferencia de otros empleados incorporados con posterioridad, a quienes sí se les proporcionó. Con el inicio de su período vacacional, comunicó su decisión de abandonar los grupos de WhatsApp corporativos, advirtiéndolo verbalmente y por correo electrónico a los responsables de tienda. No obstante, días después, una de dichas responsables volvió a añadir su número personal al grupo de WhatsApp sin previo aviso ni consentimiento, y posteriormente lo eliminó tras su cese en la empresa. Junto a la reclamación acompaña copia del correo remitido a varios responsables, donde señalaba expresamente su voluntad de no seguir utilizando su número personal con fines laborales, salvo en relación con clientes que ya disponían de él. En dicho mensaje expresaba también su expectativa de recibir pronto un teléfono corporativo y anunciaba que abandonaría los grupos de mensajería al finalizar su jornada laboral del viernes.

Por su parte, LVMH IBERIA argumenta que dicho correo no constituía una solicitud de exclusión formal de los grupos de WhatsApp, sino una notificación del inicio de sus vacaciones, indicando que seguiría utilizando su móvil personal en relación con clientes y localización en tienda. Sostiene que respetó su decisión durante todo el período vacacional, y que los grupos solo incluyen empleados, tratándose únicamente de datos mínimos indispensables. La empresa afirma haber actuado de forma prudente y conforme a la normativa.

Tras analizar la documentación, la AEPD, que inicialmente había considerado inadmitir la reclamación, estimó el recurso interpuesto por la trabajadora. Se consideró que LVMH IBERIA no acreditó una base jurídica válida que legitimara el uso del número personal de su empleada para su inclusión en grupos de WhatsApp, más allá de alegar una supuesta carencia de dispositivos corporativos compatibles con dicha aplicación, extremo que tampoco fue debidamente acreditado. Esta falta de justificación se extiende no solo al caso concreto de la reclamante, sino también a los tratamientos de datos que pudieran seguir realizándose sobre otros empleados en situación similar, que carezcan de terminal corporativo. La AEPD concluye que LVMH IBERIA utilizó el número de móvil personal de la trabajadora para incluirla en un grupo de WhatsApp (“GRUPO.1”) sin contar con su consentimiento expreso, ni con otra base jurídica alternativa. Resulta especialmente relevante que, en su comunicación, la trabajadora manifestó de forma clara su negativa a seguir usando su dispositivo personal para fines laborales. A pesar de ello, y en un corto plazo de tiempo, la empresa volvió a utilizar su número personal para integrarla en un grupo corporativo de mensajería. No consta que la empresa hubiera recabado previamente su consentimiento, ni que la reclamante hubiera autorizado expresamente las comunicaciones laborales a través de WhatsApp. Todo ello evidencia una falta de diligencia por parte de LVMH IBERIA en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos personales. El hecho de que, ante eventuales incidencias con los terminales corporativos (como su falta, robo o avería), la solución adoptada por la empresa fuera utilizar el número personal del empleado, sin base jurídica adecuada, pone de manifiesto la inexistencia de mecanismos garantistas. El principio de licitud exige que el responsable del tratamiento pueda acreditar la existencia de una base legítima para tratar los datos personales. Conforme al principio de responsabilidad proactiva, no basta con presumir el consentimiento, sino que corresponde al responsable demostrarlo. En este caso, LVMH IBERIA no pudo justificar que la trabajadora hubiera prestado su consentimiento, ni que existiera otra causa de licitud aplicable.

Por parte de Centros Comerciales Carrefour notificó ante la AEPD hasta cinco incidentes de seguridad relacionados con accesos no autorizados a cuentas de clientes por parte de terceros. Según la información proporcionada, dichas brechas de seguridad se produjeron mediante técnicas de Credential Stuffing, consistentes en el uso automatizado de credenciales previamente filtradas (pares de e-mail y contraseña), sin que existan evidencias que apunten a ataques de fuerza bruta. Como consecuencia, los atacantes lograron acceso a diversa información personal. Las brechas de datos personales notificadas compartían el mismo patrón: Se emplearon técnicas automatizadas con listas de correos electrónicos ordenadas alfabéticamente, lo que sugiere que los atacantes disponían de una base de datos estructurada para lanzar los intentos de acceso. Los ataques se produjeron en breves ventanas temporales y desde miles de direcciones IP distintas, lo que, según Carrefour, dificultó su detección y contención inmediata. En su comunicación Carrefour informó que se había detectado la oferta de credenciales vinculadas a direcciones de correo electrónico afectadas en un grupo de la aplicación ***APP.1. Posteriormente, identificaron que paquetes de credenciales asociadas a varias organizaciones, incluida Carrefour España, estaban disponibles en la Dark Web.

- Respecto a la confidencialidad, la AEPD concluye que se produjo un acceso ilegítimo a datos personales por un tercero no autorizado, lo que supuso la pérdida de confidencialidad y de control de datos personales y que afectó a todos aquellos cuyos datos fueron conocidos, no solo a aquellos clientes cuyos datos fueron luego suplantados, afectando a datos personales como nombre, apellidos, fecha de nacimiento, DNI, NIE, Pasaporte y/o cualquier otro documento identificativo, datos económicos o financieros (sin medios de pago), datos de contacto, Credenciales de acceso o identificación (usuario y / o contraseña). Se estima que los atacantes obtuvieron acceso a 118.895 cuentas, confirmando la validez de las credenciales utilizadas; aunque Carrefour defendió que la afectación real se circunscribía a 973 cuentas, alegando que en el resto de casos no se accedió directamente a datos personales, sino únicamente se verificó la validez de las credenciales. No obstante, la AEPD sostuvo que la pérdida de confidencialidad y control de los datos personales se produce desde el momento en que un tercero no autorizado accede a dichos datos, independientemente de si posteriormente se hizo un uso fraudulento de ellos. La disponibilidad de esta información para personas no autorizadas ya supone una vulneración del principio de confidencialidad.

- En relación con las medidas de seguridad, la documentación analizada reflejó la ausencia de mecanismos adecuados al riesgo. El sistema permitía intentos de acceso desde más de 7000 direcciones IP de distintos proveedores sin una detección eficaz. Fue necesario implementar posteriormente una herramienta para identificar patrones anómalos. Asimismo, auditorías de seguridad (Pentest) detectaron deficiencias en los controles existentes que comprometían la confidencialidad e integridad de la información. Carrefour reconoció no haber implementado varias de las recomendaciones propuestas, lo que evidencia una falta de diligencia en la adopción de medidas técnicas y organizativas adecuadas.

- Sobre la notificación a los afectados, si bien Carrefour consideró inicialmente que no era necesario comunicar las brechas de seguridad a los clientes afectados; finalmente reconoce su responsabilidad por la presunta infracción del artículo 34 del RGPD en relación con aquellos usuarios cuya confidencialidad e integridad se vieron comprometidas.

Por Caixabank formalizó demanda, solicitando la anulación del PS/500/2020. En la resolución impugnada, por la AEPD se sostiene que no se ha producido un verdadero consentimiento al tratamiento de datos porque no se ha informado a los clientes en los términos del artículo 13 del Reglamento. Para la valoración de si ha habido una información adecuada a los clientes la resolución sancionadora se basa en las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679, elaboradas por el Grupo de Trabajo sobre Protección de Datos, que exige que tengan conocimiento sobre la identidad del responsable del tratamiento, tipo de datos que se van a tratar, finalidad y las consecuencias previstas del tratamiento de datos, entidades a las que se pueden comunicar los datos, entre otros aspectos. El consentimiento debe darse de forma específica. para cada uno de los tratamientos de datos y cada uno de los fines que persiguen y debe haber una oportunidad real de rechazar un concreto tratamiento. Este caso guarda grandes similitudes con la resolución dictada por la AEPD PS-00477-2019, que igualmente fue objeto de pronunciamiento por la Audiencia Nacional en la SAN 1925/2025, en las que se analizaba el consentimiento de los afectados, no resultando válido por no haber sido debidamente informados. No obstante, en este caso, la AEPD no sancionó por incumplimiento del deber de informar (arts. 13 y 14 RGPD), sancionando únicamente por la falta de legitimación del tratamiento. Por ello, la Audiencia Nacional, en consonancia con la línea adoptada en la Sentencia SAN 1925/2025, de 8 de mayo de 2025, se pronuncia en los mismos extremos, manteniendo la existencia de un concurso medial de los artículos 13 y 14 RGPD (que en este caso pareció haberse apreciado de oficio por la AEPD); considerando que efectivamente se ha producido una infracción del art. 6 RGPD. En concreto, la información proporcionada al interesado sobre el tratamiento de sus datos personales por parte de CaixaBank es insuficiente, genérica y poco clara, ya que no detalla adecuadamente los fines, el tipo de datos tratados (incluidos datos sensibles como solvencia o redes sociales), ni ofrece la posibilidad de consentir de forma separada cada uso. Además, critica que se invoque una supuesta corresponsabilidad entre entidades del grupo para justificar la cesión de datos sin consentimiento expreso, sin que exista documentación válida que acredite tal corresponsabilidad.

En consecuencia, la Audiencia coincide con los argumentos empleados por la AEPD para afirmar que se infringió el artículo 6.1 RGPD, no siendo un consentimiento válido por no haber contener la documentación empleada por la entidad demandante para informar a sus clientes sobre los tratamientos a los que sus datos iban a someterse de manera clara y detallada; estimando parcialmente el recurso, limitándose a moderar la extensión de la multa, reduciéndola a la mitad, amparándose en los mismos argumentos esgrimidos en su anterior sentencia SAN 1925/2025

La reclamante expuso que su compañía eléctrica le comunicó la baja del suministro a instancia de una nueva comercializadora, NATURGY. Tras tener conocimiento de ello, contactó telefónicamente en varias ocasiones con dicha entidad, desde donde le informaron que había sido dada de alta en contratos de luz, gas y servicios asociados, facilitándole una dirección de correo electrónico para presentar su reclamación, al no reconocer ni autorizar tales contrataciones. A través de distintos correos electrónicos, presentó reclamación ante NATURGY solicitando acreditar la existencia de consentimiento para la cesión y uso de sus datos personales, los cuales, a su juicio, habrían sido utilizados sin legitimación. Como continuaban emitiéndose facturas, la reclamante dirigió un escrito a la compañía indicando su negativa a abonar cantidad alguna hasta que no se acreditase la validez de los contratos supuestamente suscritos. No obstante, NATURGY procedió a realizar cargos bancarios en su cuenta, y remitió comunicaciones exigiendo el pago, advirtiendo de posibles consecuencias en caso de impago. Posteriormente, al recibir copia del supuesto contrato, la reclamante indicó que el mismo había sido tramitado mediante un número de teléfono desconocido y desde una dirección IP ajena, calificando los hechos como un intento de estafa, y formulando la correspondiente denuncia ante la Policía Nacional.

Por su parte, NATURGY alegó que la contratación se llevó a cabo a través de un proceso digital, mediante una herramienta que, tras manifestar el cliente su intención de contratar, remite un SMS con enlace a una web en la que se exponen las condiciones del servicio. El cliente, para formalizar la contratación, debe pulsar un botón de aceptación, quedando registradas la fecha, hora y la IP desde la que se realiza el consentimiento. Todo el procedimiento es certificado por un tercero de confianza: Aviva Voice Systems & Services, S.L.

Según NATURGY, el 26 de octubre de 2022 a las 13:31h se envió un SMS al número ***TELEFONO.1, incluyendo un enlace para acceder al contenido contractual. A esa misma hora, se accedió a la web desde la IP ***IP.1 y se pulsó el botón de contratación. NATURGY añadió que, tras la reclamación inicial, inició una investigación interna, determinando que la contratación fue gestionada por la empresa Soluciones Empresariales Integrales 2022 (SEI), actuando como encargado del tratamiento. Sin embargo, NATURGY reconoció que SEI no conservaba la grabación de la llamada de contratación, a pesar de haberla requerido formalmente. La compañía concluyó que dicha contratación fue fraudulenta, al haberse ejecutado con el único fin de obtener una comisión ilícita, sin seguir sus directrices ni autorizaciones. Como consecuencia, NATURGY rescindió el contrato con SEI.

A la luz de los hechos, la AEPD constató que NATURGY activó los contratos de gas, electricidad y servicios de mantenimiento, emitiendo facturas y requerimientos de pago correspondientes, sin contar con base legal para ello. La compañía incorporó los datos personales de la reclamante a sus sistemas sin acreditar la existencia de una relación contractual legítima, consentimiento del afectado, ni otra causa que justificara el tratamiento de sus datos personales, contraviniendo así el artículo 6.1 del RGPD. Asimismo, se acreditó que la reclamante había comunicado por correo electrónico que no había solicitado dichos servicios ni suscrito contrato alguno, afirmación que fue ignorada por la compañía. La baja de los suministros con NATURGY se produjo a través de un nuevo cambio de comercializadora gestionado por la propia reclamante, y no como consecuencia de las reclamaciones interpuestas, tal y como erróneamente sostuvo NATURGY, no logrando demostrar que actuó con la diligencia exigida. El tratamiento de los datos personales de la reclamante se llevó a cabo de manera ilícita, sin que existiera una base de legitimación válida, incurriendo así en una infracción del artículo 6 del RGPD.

Por parte del reclamante se pone de manifiesto que ALVEA SOLUCIONES TECNOLÓGICAS llamó por teléfono ofreciendo puestos de trabajo y, posteriormente, envían un correo electrónico para ceder los datos de la persona a la que han llamado. Asimismo, indica que el citado correo contiene un formulario de Google que indica que se cederán los datos a otras entidades que trabajen con la empresa reclamada, pero esa información que se proporciona en el formulario termina en una hoja de cálculo a la que puede acceder cualquier persona que disponga de la URL a dicho documento, que contiene también el nombre y DNI de personas que no han permitido que se cedan sus datos. También manifiesta que otro apartado del formulario indica que los datos se mantendrán durante un periodo máximo de 18 meses, cuando la hoja de cálculo contiene datos desde el año 2020.

Aporta el reclamante copia del documento EXCEL con 10.837 personas y la cláusula de consentimiento del formulario enviado por ALVEA, apareciendo nombre, apellidos y DNI de los usuarios que han rellenado el formulario (no aparecen los datos de la parte reclamante); bloc de notas con los dos enlaces del correo electrónico a dos Hojas de cálculo de Google; captura de pantalla del correo electrónico enviado por la empresa reclamada a el reclamante en la que aparecen los dos enlaces y se observa adjuntando el posible documento EXCEL de consentimiento con los usuarios, con fecha indeterminada; captura de pantalla de una parte del documento EXCEL con las 10.837 personas.

El 14/11/2024 contestó ALVEA señalando que había analizado la reclamación y reconocía que se había producido un error administrativo que califica de puntual al incluir un enlace de uso interno junto al enlace del registro que se envía a los candidatos para solicitar su consentimiento y cesión del tratamiento de la candidatura, adoptando las siguientes medidas:

- Evaluar la necesidad de designar un Delegado de Protección de Datos (DPD); limitar el acceso a dicho enlace interno, deshabilitándolo;

- Comprobar y verificar que únicamente el personal autorizado de manera previa puede abrir dicho enlace, constatando que dicha medida ha sido efectiva;

- Limitar el acceso a los datos de los candidatos que han otorgado su consentimiento de los últimos 18 meses, dado que el resto de los datos permanecen bloqueados hasta su eliminación total, pasados los plazos legales de conservación;

- Reflejar el procedimiento de gestión de selección de candidatos de manera interna; y remitir email al candidato informando del error y procediendo al borrado del mismo.

La AEPD concluye que se trata de un error administrativo de un técnico de selección incorporado recientemente que, a pesar de haber recibido la formación de incorporación en la empresa adecuada, envió el email al candidato para que se registrase incorporando dos enlaces, tanto el enlace interno como el externo, en vez únicamente este último. Por ello, se observa que todas las medidas indicadas se adoptaron una vez se presentó ante la AEPD la reclamación, sin que se apreciaran medidas anteriores que pudieran haber evitado la incidencia. Así pues, se considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable a ALVEA, por vulneración del artículo 5.1.f) del RGPD.

El reclamante denuncia que sus datos personales fueron incluidos en sistemas comunes de información crediticia (ASNEF) a instancia de IBERDROLA, en relación con una deuda que no reconocía y respecto de la cual, según alega, no recibió requerimiento de pago previo ni información sobre la posibilidad de dicha inclusión. IBERDROLA sostuvo que la inclusión fue legítima, ya que el reclamante había formulado una reclamación el 02/01/2023, que fue contestada. Posteriormente, se emitió una factura acreedora negativa por importe de -53,09 €, destinada a anular otra factura reclamada. Sin embargo, debido a un error del sistema, el importe fue abonado directamente en la cuenta del reclamante, sin compensarse con la deuda pendiente, lo que motivó la continuación del requerimiento de pago y la posterior comunicación al fichero ASNEF, tras el supuesto incumplimiento.

La compañía argumenta que informó al reclamante de los riesgos derivados del impago, tanto en el contrato suscrito como mediante notificaciones de las facturas, enviadas por correo electrónico con enlace al área de cliente, y mediante requerimiento de pago de fecha 14/03/2023. Alegó así haber cumplido con la obligación de advertir al interesado sobre la posible comunicación al fichero de morosidad.

Analizado el contrato de suministro de gas y mantenimiento firmado entre las partes, se observa que efectivamente, incluía una cláusula relativa al posible tratamiento de datos en caso de impago. Asimismo, el 10/04/2023, IBERDROLA respondió por correo electrónico a la consulta de la reclamante acerca de la inclusión en ASNEF, remitiéndole facturas que justificaban la deuda reclamada (60,80 € por penalización por baja anticipada y 53,09 € por cuotas de mantenimiento), ambas vinculadas a servicios ya finalizados. Consta, además, un requerimiento de pago emitido con fecha 01/03/2023, con código ***REFERENCIA.3, por importe de 113,89 €, informando de la posibilidad de comunicación al fichero ASNEF en caso de impago. No obstante, dicho requerimiento fue aceptado por Correos para su envío el 10/03/2023, siendo el primer intento de entrega el 14/03/2023, sin éxito. Se dejó aviso para su recogida en oficina postal, donde permaneció hasta su devolución a origen el 03/04/2023.

Por tanto, a pesar de no constar acreditado que la reclamante hubiera recibido efectivamente el requerimiento, IBERDROLA solicitó la inclusión de sus datos en el fichero ASNEF el 27/03/2023, antes de que el requerimiento fuera devuelto por falta de recogida. Según señala la AEPD, la entrega fallida no justifica la inclusión anticipada en el fichero, pues el artículo 20.1.c) de la LOPDGDD exige como requisito previo la realización efectiva del requerimiento de pago, no la mera notificación de facturas ni el intento infructuoso de comunicación postal. Es por ello que la AEPD considera que IBERDROLA no acreditó haber cumplido con los requisitos exigidos para la inclusión de datos personales en un sistema de información crediticia. La decisión de solicitar la inclusión en ASNEF se tomó sin garantizar que el interesado hubiese recibido el preceptivo requerimiento, y sin respetar el plazo mínimo para que el mismo pudiera atender la reclamación o manifestar oposición, privando al reclamante de su derecho a conocer la deuda y, en su caso, ejercer las acciones necesarias. A mayor abundamiento, el acceso al fichero se materializó antes de la devolución por sobrante.

La inclusión de los datos del reclamante en ASNEF sin cumplir con los requisitos legales del artículo 20.1 de la LOPDGDD vulnera la obligación de disponer de una base legítima de tratamiento conforme al artículo 6.1 del RGPD. No se garantizó el ejercicio de los derechos del afectado ni se observó un mínimo estándar de diligencia en la gestión del proceso. En consecuencia, la actuación de IBERDROLA implicó un tratamiento ilícito de datos personales, al producirse sin un requerimiento válido de pago, lo que comprometió la protección de los derechos del reclamante.

El reclamante interpuso denuncia ante la AEPD al haber sido víctima de una suplantación de identidad el 6 de abril de 2021, lo que permitió la realización de una transferencia bancaria no autorizada desde su cuenta. Señala que un tercero obtuvo un duplicado de su tarjeta SIM en un punto de venta de DIGI a las 14:21 horas, permaneciendo la línea bloqueada hasta las 17:30, cuando fue reactivada desde la tienda. Afirma que no solicitó dicho duplicado, ni recibió comunicación previa por SMS, correo electrónico o llamada, y que DIGI no verificó adecuadamente la identidad del solicitante ni aplicó sistemas de autenticación reforzada o firma electrónica, a pesar de estar obligada a ello.

Por su parte, DIGI alegó que la causa del fraude fue la pérdida previa de control del reclamante sobre sus datos personales a consecuencia de un ataque de “phishing”, siendo este hecho externo el que permitió al suplantador contactar con la operadora. No obstante, esta intervención fraudulenta evidenció una deficiente evaluación de riesgos y una insuficiente implantación y supervisión de medidas de seguridad por parte de DIGI. La operadora reconoció que el suplantador logró superar su política de seguridad, que resultó ser insuficiente para evitar la emisión no autorizada del duplicado de la tarjeta SIM.

DIGI sostiene que, aunque cuenta con políticas de seguridad, estas pueden ser superadas excepcionalmente por terceros mediante mecanismos fraudulentos, sin que ello implique responsabilidad directa. Sin embargo, ha quedado acreditado que el procedimiento implementado no fue capaz de garantizar la adecuada identificación del titular de los datos, y que, en consecuencia, un tercero accedió de forma ilegítima a la línea móvil del reclamante, vulnerando la confidencialidad y el control sobre sus datos personales. La obtención del duplicado de la tarjeta SIM posibilitó que el suplantador accediera a aplicaciones y servicios asociados al número telefónico, incluyendo sistemas de recuperación de claves mediante el envío de SMS. Esto pudo permitir el acceso a cuentas bancarias, correos electrónicos, redes sociales o servicios de mensajería, afectando gravemente los derechos del reclamante, quien perdió el control sobre sus comunicaciones y sobre sus datos personales, base del derecho fundamental a la protección de datos.

La AEPD recuerda que un duplicado SIM expedido sin consentimiento del titular y sin intervención de este en el proceso constituye un tratamiento de datos personales sin base jurídica conforme al artículo 6.1 del RGPD. DIGI no ha demostrado la existencia de una causa legitimadora, como el consentimiento, una obligación legal o la ejecución de un contrato, que justifique dicho tratamiento. El protocolo de verificación aplicado, centrado en la coincidencia de ciertos datos con la base interna, no garantiza que el tratamiento se haya efectuado de forma lícita, ya que no acredita la intervención efectiva del interesado. La responsabilidad de DIGI no reside en el incumplimiento de sus propios protocolos internos, sino en su incapacidad para implantar medidas suficientes que aseguren una base jurídica válida para el tratamiento realizado. En definitiva, la emisión del duplicado SIM constituye un tratamiento de datos sin base legítima, en infracción del artículo 6.1 del RGPD, siendo DIGI responsable de no haber adoptado medidas técnicas y organizativas adecuadas para impedir accesos no autorizados que comprometan la seguridad y confidencialidad de los datos personales de sus clientes.

La reclamante declara que el Colegio Virgen de Europa creó a su hija menor de 14 años un correo electrónico, sin haberse recabado el consentimiento de los tutores en la creación de dicho correo electrónico ni para trabajar con un perfil de Classroom. El 20 de noviembre de 2022 tuvo conocimiento de que alguien había suplantado la identidad de su hija y se hizo pasar por ella escribiendo correos desde dicha cuenta a diferentes personas, así como accediendo al contenido de su perfil en Classroom y escribiendo en su nombre. Dichos hechos fueron comunicados al Colegio, indicando que el Centro no ha notificado la brecha de seguridad ni le ha dado ninguna importancia al hecho. A su vez, destaca que solicitaron los registros de eventos de Classroom con la IP y no se los han facilitado. Considera que las medidas de seguridad no eran las óptimas; ya que la contraseña del correo electrónico para todos los niños y niñas eran las iniciales de la menor más la fecha de nacimiento de la madre, sin forzar el cambio de la misma, dando la posibilidad a una suplantación de identidad sin mucho esfuerzo. Añade la reclamante que en la política de privacidad del Colegio no constan los datos de contacto del DPD. Al buscar los datos de contacto del DPD en la web de la Agencia figura una dirección de correo, pero este correo no existe. Analizado los hechos, la AEPD estima la infracción de múltiples apartados del RGPD:
- Respecto a la licitud del tratamiento: Por parte del Centro Educativo, se manifiesta que la situación de creación de la dirección de correo electrónico respondió a una necesidad educativa, y que se llevó a cabo durante la época excepcional del COVID-19, ante la necesidad de adaptación rápida de los sistemas educativos existentes hasta el momento. Por ello, la comunicación de creación de la dirección de correo electrónico se llevó a cabo mediante correos electrónicos con los tutores de los menores, sin que existiera impedimento o negativa por parte del tutor de la menor. Si bien, tras este momento de adaptación excepcional, adaptaron sistemas a la hora de recabar el consentimiento, con los requisitos establecidos por el legislador. Recuerda la AEPD que en ningún caso, a efectos del art. 6.1 RGPD, una situación de emergencia como ha sido la pandemia mundial del Covid -19 legitima, por sí misma, el tratamiento de los datos personales sin el consentimiento de sus titulares o de los tutores, en su caso. La falta del consentimiento otorgado por el tutor del menor, no puede verse suplido con una simple comunicación posterior por e-mail a los tutores de los menores; sin que resulte válido el que no conste impedimento o negativa por parte de dichos tutores; debiendo el Responsable ser capaz de demostrar que los titulares de la patria potestad o tutela de la menor consintieron el tratamiento de los datos, circunstancia esta que no consta en el expediente.
- Respecto a la información al afectado: respecto a la falta de información sobre el contacto relativo a la figura del DPD, el centro manifiesta su disconformidad, indicando que se encuentra identificada en los diferentes procedimientos, formularios de recogida de datos, clausulados y en la política de privacidad de su página web. Sin embargo, se ha revisado la política de privacidad del COLEGIO, sin que constaran los datos de contacto del DPD, datos que siguen sin constar a fecha de la resolución.
- Respecto a las medidas de seguridad: Por último, consta acreditado que la contraseña del correo electrónico creado por el COLEGIO para todos los niños y niñas eran las iniciales de la menor más la fecha de nacimiento de la madre, sin forzar el cambio de la misma; lo que, facilitó la suplantación de la identidad de la menor; lo que pone de manifiesta la ausencia de medidas de seguridad razonables en función de los posibles riesgos estimados, sobre todo al tratarse de una vía de comunicación del COLEGIO con sus alumnos y al ser estos menores de edad.

El reclamante denuncia ante la AEPD que la reclamada B.B.B. es responsable de un establecimiento que cuenta con cámaras de videovigilancia que no se encuentran señalizadas mediante los preceptivos carteles informativos de zona videovigilada. Señala asimismo que las cámaras graban audio, almacenan imágenes más del tiempo establecido normativamente y el establecimiento no cuenta con área de descanso para los trabajadores, al contar con cámaras en todo el local que impiden que se pueda identificar un área a tal efecto; aportando junto a su reclamación imágenes de ubicación de las cámaras, incluyendo zonas principales del establecimiento, incluida la cocina. Por su parte, B.B.B., en relación a los hechos objeto de traslado, confirma la existencia de un sistema de videovigilancia, indicando que el local dispone de 5 cámaras de grabación continua, con dos carteles que se observan visualmente por todos los clientes y trabajadores. El sistema de videovigilancia está externalizado con Securitas Direct. Las cámaras son utilizadas además con fines de control laboral, por cuanto han tenido algunos altercados y robos que han originado la necesidad de vigilar la Caja del Bar y los horarios. Por parte de B.B.B. se adjunta mediante imagen la disposición de las cámaras en el local, e imágenes de los carteles del sistema de videovigilancia,  y escrito firmado por los empleados en el que reconocen que habían sido previamente informados de la instalación de las cámaras de videovigilancia. Tras analizar la documentación, la AEPD considera acreditado la desproporcionalidad del sistema y la falta de información del mismo:

- Respecto a la minimización de datos: por B.B.B. se aporta prueba documental que acredita la presencia de dispositivos sin que se aprecie la orientación exacta de los mismos. La reclamada aporta un video de una de las cámaras, situada en la zona de barra, con la finalidad entendemos de protección de la caja registradora, si bien no aporta imágenes del sistema de ninguna de las otras cuatro cámaras instaladas en el establecimiento, ni justifica la presencia o finalidad de las mismas. Por tanto, se considera que la reclamada no ha explicado correctamente la ubicación exacta de todas las cámaras, así como la justificación de la instalación de las mismas, que pudieran observar más de lo necesario para la finalidad del sistema. Además, consta acreditado que el sistema de video-vigilancia instalado, dispone de la posibilidad de grabación del sonido ambiente, registrando las conversaciones que se producen en el interior del establecimiento. Recuerda la AEPD que las cámaras deben ubicarse en aquellas localizaciones permitidas por la normativa, es decir, en espacios de uso público, en los que no se presuma intimidad, como serían el salón principal del bar siempre que no se orienten de manera directa a las mesas del establecimiento, el comedor, la zona de caja, la cocina, la puerta o puertas de acceso, etc.

- Sobre la falta de información del tratamiento: consta acreditado que el establecimiento no disponía en el momento de traslado de los hechos cartel informativo, ilimitándose a disponer del cartel de la empresa instaladora «Cámaras Grabación Permanente» , que no indicaban ni el responsable, ni el modo de ejercitar los derechos. No es sino hasta el inicio del procedimiento que B.B.B. procede a reinstalar los carteles informativos, lo que acredita la incorrección en la instalación inicial de los mismos instalada por la empresa de Seguridad Securitas Direct. De otro lado, la instalación de un sistema de cámaras de video-vigilancia requiere que se comunique al conjunto de trabajadores o en su caso representante legales, la presencia de las cámaras y la finalidad del sistema. En el presente caso, se aporta documento con la presunta firma de los trabajadores de su establecimiento, dudándose de su validez, no solo porque no está en el contexto de un documento individual para cada trabajador debidamente informado, sino porque no va acompañado de la copia del correspondiente DNI de cada empleado, careciendo de las formalidades legales mínimas exigibles para ser considerado válido.

Como consecuencia de reclamación presentada ante la AEPD, y apreciándose indicios de un posible incumplimiento de las normas en el ámbito de su competencia, se iniciaron actuaciones con número de expediente EXP202316931. En el marco de las actuaciones de investigación, se remitió por cuatro veces a RED ESPAÑOLA DE IDENTIFICACIÓN DE ANIMALES DE COMPAÑÍA (REIAC) un requerimiento de información, relativo a una reclamación, para que, en el plazo de diez días hábiles, presentase ante la Agencia la información y documentación que se señalaban.

La primera vez, el requerimiento de información, que se envió por correo postal, fue devuelto a origen por Correos por desconocido con fecha 11 de febrero de 2025. La segunda vez, el requerimiento de información se notificó por medios electrónicos, no siendo recogido por el responsable dentro del plazo de puesta a disposición. La tercera y la cuarta vez, el requerimiento fue enviado por correo postal y recogido por REIAC con fechas 20 y 27 de febrero de 2025, en el domicilio que consta en el Fichero de Denominaciones de Asociaciones y en el domicilio que figura en los Estatutos de REIAC, respectivamente; sin que por parte de REIAC se haya remitido respuesta alguna a los requerimientos de la AEPD.

Por ello, se considera que con la conducta de REIAC , la potestad de investigación que el artículo 58.1 del RGPD confiere a las autoridades de control, en este caso, la AEPD, se ha visto obstaculizada, al no procurar a la Agencia Española de Protección de Datos la información requerida, infringiendo con ello el citado precepto.

Con fecha 22 de mayo de 2024, se dictó por la AEPD resolución en el procedimiento sancionador del expediente número EXP202306753, seguido contra CUBILLO GALLEGO, S.L. En dicha resolución, además de sancionar con la imposición de multa, se requería a CUBILLO GALLEGO a que en el plazo de 1 mes acredite haber procedido al cumplimiento de para que, incorpore a su web https://www.cubillogallego.com la debida información en su política de privacidad, así como la información requerida por el artículo 13 del RGPD en los contratos que suscriba CUBILLO con los interesados.” Tras el transcurso del plazo indicado sin que en la Agencia hubiera recibido escrito alguno sobre las medidas implementadas, se requirió nuevamente a CUBILLO GALLEGO hasta en cuatro ocasiones para que acreditara haber adoptado las medidas correctoras oportunas, en atención a lo acordado en la citada Resolución.

Por parte de CUBILLO GALLEGO no se remite respuesta alguna a la Agencia que acredite el cumplimiento de las medidas impuestas, por lo que la AEPD, de conformidad con las evidencias de las que dispone en el momento de acuerdo de inicio del procedimiento sancionador, considera que CUBILLO GALLEGO ha incumplió la resolución de la AEPD, vulnerando con ello lo dispuesto en el artículo 58.2 d) RGPD, que otorga a las autoridades de control la potestad para ordenar a los responsables o encargados del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, cuando proceda, de una determinada manera y dentro de un plazo especificado.

Por parte de A.A.A. se presenta una reclamación ante la AEPD contra XFERA MÓVILES. El procedimiento se inicia a raíz de una reclamación por la recepción de llamadas comerciales no consentidas, pese a estar inscrito en la Lista Robinson. Las llamadas se realizaron desde varias líneas telefónicas, todas ellas operadas por XFERA. Sin embargo, durante la investigación, la AEPD constató que los datos de los titulares de las líneas desde las que se realizaron las llamadas eran inexactos. En concreto, uno de los DNIs proporcionados por XFERA no existía; y otro correspondía a una persona distinta de la identificada. No existía relación contractual entre XFERA y los supuestos titulares de las líneas. Las tarjetas prepago fueron comercializadas a través de la plataforma Fullcarga Ibérica, S.L., entidad que actuaba como encargada del tratamiento en virtud de un contrato suscrito con XFERA.

La AEPD consideró que XFERA vulneró el principio de exactitud de los datos personales, al considerar que los datos no eran exactos. XFERA alegó que no podía verificar la veracidad de los datos recabados por los puntos de venta, que actuaban como encargados del tratamiento. La AEPD recuerda que en este caso, referidos a los datos de identificación de titulares de líneas prepago, de las que XFERA es responsable del tratamiento. XFERA tenía- y debió ejercer- capacidad de supervisión respecto de la actuación de FULLCARGA y, por ende, de los puntos autorizados por ésta. Pero XFERA no tenía establecido ningún mecanismo de seguridad conforme al cual no podrían aceptarse números de DNI inexistentes; ni ha aportado ningún mecanismo de control, auditoría, muestreo o similar que permitiese la posible existencia de errores o inexactitudes en los datos, especialmente considerando que estos datos pueden ser requeridos por autoridades judiciales o policiales. XFERA no aporta ninguna medida de control más allá del establecimiento formal de un contrato de servicios, unido a uno de encargo, en el que se impone al encargado la obligación de identificar a los usuarios de tarjetas prepago, sin que la información suministrada por este sea objeto de ningún tipo de comprobación o control posterior, ello a sabiendas, según también se reconoce, que puede haber fraudes, suplantaciones e incluso delitos de falsedad documental con objeto de dar de alta titulares inexactos, lo que, también insistimos, puede dar lugar al fracaso de investigaciones penales.

La reclamante interpuso denuncia ante la AEPD alegando que un trabajador de la entidad FRUTAS CALISA, sin su consentimiento previo, le contactó a través de la aplicación WhatsApp. Considera que dicho contacto se produjo tras el acceso a sus datos personales, facilitados exclusivamente para la gestión de la tarjeta SALAMANCA TARJETA ACTIVA, instrumento empleado por los usuarios para obtener descuentos en comercios locales. Como prueba, adjuntó capturas de pantalla de los mensajes recibidos y copia de la denuncia formulada ante la Policía Nacional.

Por su parte, FRUTAS CALISA S.L., alegó que la reclamante era clienta habitual desde hacía tiempo, y que el número de teléfono fue facilitado personalmente por ella con motivo de pedidos semanales de productos específicos, no disponibles habitualmente. Añade que también participó en un sorteo navideño organizado por el establecimiento, para el cual proporcionó su nombre y número de teléfono. Asegura que, al no responder la reclamante a llamadas tras realizar un nuevo encargo, se le remitió un mensaje de WhatsApp como recordatorio. Considera, por tanto, que el contacto se enmarcaba dentro de la relación comercial existente y niega que los datos provinieran del sistema SALAMANCA ACTIVA. En apoyo a su versión, FRUTAS CALISA aportó documentación relativa a la implantación de medidas de protección de datos, incluyendo facturas de consultoras y diplomas de formación del personal. Sin embargo, la resolución de archivo inicial dictada por la AEPD fue recurrida por la reclamante, quien negó haber proporcionado su número de teléfono por los canales alegados por la frutería, ni haber participado en sorteo o efectuado pedido alguno. Además, subrayó que el mensaje recibido era de carácter personal, no comercial, y que el remitente no se identificó como trabajador de la empresa.

Tras analizar nuevamente el caso, la AEPD acordó continuar el procedimiento al no haberse acreditado el consentimiento de la reclamante ni la existencia de un contrato o consentimiento que legitimase el uso de su número de teléfono. El contenido de los mensajes tampoco hacía referencia a ningún encargo ni a la actividad comercial del establecimiento, siendo su tono y contenido claramente personales.

Tras las actuaciones de investigación, se verificó que el emisor de los mensajes, era empleado de FRUTAS CALISA, C.C.C., extremo corroborado con la aportación del correspondiente contrato laboral. En consecuencia, tenía acceso a los datos de los clientes en el marco de sus funciones. Sin embargo, del análisis del contenido de los mensajes se concluye que B.B.B. no actuó por cuenta ni siguiendo instrucciones del establecimiento, sino que utilizó los datos personales de la reclamante de forma autónoma y con una finalidad ajena a la relación comercial, vulnerando con ello el principio de licitud del tratamiento. En este caso, resulta indiferente si FRUTAS CALISA tuvo acceso a los datos de la reclamante como entidad adherida al sistema SALAMANCA ACTIVA, o si fue A.A.A. quien facilitó sus datos con la finalidad de recibir pedidos. No se duda que FRUTAS CALISA tuviera legitimación para el tratamiento de tales datos, pero esa legitimación no se extiende a los empleados a título individual, quienes requieren una base jurídica propia para el tratamiento de datos personales fuera del ámbito estrictamente profesional. En este caso, no se ha acreditado que la reclamante facilitase su teléfono al trabajador para fines personales ni que autorizase su uso fuera del marco de la relación comercial, por lo que la actuación de B.B.B. no puede considerarse amparada por la legitimación de FRUTAS CALISA, resultando que el tratamiento realizado —esto es, el acceso y uso del número de teléfono de la reclamante con fines personales— fue llevado a cabo de forma autónoma y sin base legal que lo sustentara, actuando fuera del ámbito de sus funciones como empleado y sin que exista constancia de consentimiento, encargo o instrucción por parte de la empresa.

Por parte de la trabajadora D.ª Leocadia demandó a su empresa por considerar que se había producido una modificación sustancial de las condiciones de trabajo. Sin embargo, en primera instancia el Juzgado estimó la caducidad de la acción, absolviendo a la empresa. Contra dicha resolución formuló recurso de suplicación solicitando la revocación de la sentencia recurrida, alegando entre otras cuestiones la vulneración del derecho de la trabajadora a la intimidad personal y familiar previsto en el artículo 18 de la CE en su vertiente de desconexión digital regulada en el artículo 88 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales.

La demandante inicio el período de disfrute de la prestación por nacimiento y cuidado de su hijo en fecha 30.06.2021, solicitando excedencia en fecha 16.11.2021 por cuidado de hijo menor, por el período 07.12.2021 a 01.04.2022, siendo prorrogada posteriormente, hasta fecha 30.09.2022. En la empresa demandada en julio de 2021 se produjo una reestructuración del área al que pertenecía la trabajadora, comunicándose  a todos los trabajadores por correo electrónico. Asimismo, Fausto que iba a ser su superior jerárquico (y hasta esa fecha ocupaba un puesto de responsable al mismo nivel que la trabajadora demandante), se puso en contacto con Leocadia por medio de llamada telefónica y a través de la aplicación WhatsApp, comunicándole la reestructuración y el cambio de puesto de trabajo.

Por el Tribunal Superior de Justicia de Madrid se analiza el motivo del recurso que está referido a la caducidad de la acción que ha sido apreciada por la juzgadora, al estimar probado que la actora tuvo conocimiento de que, como consecuencia de la reestructuración del área a través del correo electrónico remitido por la empresa a todos los trabajadores, incluida ella, el 13 de julio de 2021, así como que ese cambio organizativos se le ratificó telefónicamente y a través de WhatsApp., o por el contrario debe considerarse como fecha de la comunicación cuando se reincorpora en la empresa el 23.09.2022.

En este sentido, el TSJ de Madrid declara rotundamente que no cabe considerar infringido el 18 de la CE en su vertiente de desconexión digital regulada en el artículo 88 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales pues, si bien es cierto que, al encontrarse la trabajadora disfrutando de licencia por maternidad en el momento en el que se cursa la notificación por correo electrónico, lo que habría justificado que no diera lectura a la comunicación cursada, la desconexión digital se configura como un derecho dispositivo y, por tanto, el titular del mismo puede libremente gestionarlo, pudiendo ejercitarlo o renunciar al mismo. En este caso, la actora decidió libremente dar lectura al citado correo electrónico y solicitar las aclaraciones que consideró oportunas por teléfono y WhatsApp por lo que ninguna vulneración de su derecho a la desconexión digital se ha producido y la notificación cursada es eficaz.

La reclamante manifiesta que en fecha 4/08/2023 recibió una llamada desde un número, haciéndose pasar por su comercializadora de energía, indicándole que había un fallo en sus facturas y que debía realizar una actualización de su contrato. Asegura también que, tenían todos sus datos (nombre, apellidos, correo electrónico, teléfono y código IBAN de su cuenta bancaria) y que le pidieron que firmase el contrato que le enviarían, para proceder al cambio. Ese mismo día recibió un correo electrónico, adjuntando el citado contrato, para su firma, ante lo que llamó a su comercializadora de energía, quien le confirmó que dicha empresa no tenía nada que ver con ellos, y que es una comercializadora más, por lo que no procedió a su firma. Manifiesta además que, en días posteriores, recibió varios correos de la otra empresa con documentos pendientes de firmar, el último de fecha 8/08/23. Afirma no estar inscrito en la lista Robinson y no haber sido cliente de la entidad que le realiza las llamadas.

Por la AEPD se envió requerimiento de información a la entidad ALBOR ENERGÍA para que informase sobre los hechos denunciados, indicando el motivo por el que realizó la llamada desde un número de su titularidad, el origen de los datos, grabación de la llamada y copia de diversa documentación. Ante dicho requerimiento, ALBOR ENERGÍA manifestó que es empresa dedicada a la comercialización de productos y servicios en el ámbito de la actividad energética (asesora energética, según manifiesta en su página web), actúa en virtud de contrato de colaboración firmado con ***EMPRESA.3 (que actúa bajo la marca de la empresa con la que contactó la reclamante), subcontratando los servicios de ***EMPRESA.4. A su vez ***EMPRESA.4 empresa dedicada a la comercialización de productos y servicios, es una de las empresas que ALBOR ENERGÍA subcontrata para la prestación de los servicios acordados con ***EMPRESA.3. Adjunta encargo de tratamiento entre ALBOR ENERGÍA con ***EMPRESA.3. Sin embargo, analizado el encargo de tratamiento de datos, se observa que expresamente contempla: “El encargado del tratamiento no podrá subcontratar los servicios prestados al responsable, sin la autorización previa y por escrito por parte del responsable del tratamiento. En caso de autorización, se especificarán los datos de los subencargados en el Anexo IV de este contrato.”.  Y en la documentación aportada, no consta, autorización por escrito y expresa de ***EMPRESA.3 a ALBOR ENERGÍA, autorizando la subcontratación de ***EMPRESA.4 por parte de ALBOR ENERGÍA.. A mayor abundamiento, dicho contrato incluye, como se ha detallado, una lista vacía de subencargados.

Aun cuando ALBOR ENERGÍA ha manifestado haber finalizado su relación el subencargado (***EMPRESA.4) al no considerarlo proveedor seguro en el tratamiento de los datos personales, la contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles constituye una infracción grave a los efectos de la normativa de protección de datos.

Como consecuencia de reclamación presentada ante la AEPD contra ADMINISTRACIONES BENIPON, S.L., y apreciándose indicios de un posible incumplimiento de las normas en el ámbito de las competencias de la Agencia, se iniciaron actuaciones con número de expediente EXP202402268. Aunque la notificación se practicó válidamente por medios electrónicos, se remitió a título informativo una copia por correo postal, devuelta a origen por Correos por desconocido, pese a haberse enviado al domicilio social que consta en el Registro Mercantil, entendiéndose efectuado el trámite en fecha en fecha 23 de febrero de 2024. Con fecha 24 de marzo de 2024, ADMINISTRACIONES BENIPON respondió el traslado de la reclamación realizado por la AEPD. Tras las actuaciones previas, la AEPD acordó admitir a trámite la reclamación, solicitando en el marco de las actuaciones de investigación, nuevos requerimientos de información, remitiéndose hasta en dos veces (30 de mayo y 21 de junio) a ADMINISTRACIONES BENIPON nuevo requerimiento de información. Respecto a estos nuevos requerimientos de información, ADMINISTRACIONES BENIPON no remitió respuesta alguna, por lo que la AEPD acordó iniciar procedimiento por infracción del art. 58.1. RGPD.

ADMINISTRACIONES BENIPON alegó que presentó respuesta en plazo y forma, indicando que contestaron a toda la información requerida, aunque pudiera haber un error en el número de expediente, dado que fueron víctimas por un ataque a la empresa que les prestaba servicios. La AEPD desestima sus alegaciones, indicando que ADMINISTRACIONES BENIPON no respondió al requerimiento de información con anterioridad a que se dictase el acuerdo de inicio del procedimiento sancionador por infracción del art. 58.1 RGPD. Señala que si bien ADMINISTRACIONES BENIPON respondió al traslado de la reclamación realizado desde la AEPD, se trataba de un trámite previo a la admisión a trámite de la reclamación y a la apertura de las actuaciones previas de investigación, debiendo diferenciarse con respecto a los requerimientos de información realizados posteriormente en el marco de la investigación. En este caso, los requerimientos realizados durante las actuaciones de investigación, no fueron atendidas, produciéndose la infracción que se detalla en este procedimiento sancionador. De todo ello se puede desprender una actuación no diligente de ADMINISTRACIONES BENIPON con respecto a dicho requerimiento, obstaculizando con su actuación las potestades de investigación que la AEPD confiere a las autoridades de control.

La reclamante interpuso denuncia ante la AEPD al constatar la inclusión de sus datos personales en el sistema común de información crediticia ASNEF-EQUIFAX a instancias de la entidad SD IBERIAN PORTFOLIOS, S.L., en relación con una deuda previamente cedida por BANCO SANTANDER, S.A, a pesar de habérsele concedido el Beneficio de Exoneración del Pasivo Insatisfecho (BEPI), con carácter definitivo, en fecha 2 de noviembre de 2021. El origen de la deuda se remonta a un contrato suscrito con SANTANDER, que el 25 de febrero de 2021 cedió a SD IBERIAN PORTFOLIOS mediante contrato de compraventa de créditos. La reclamante fue informada de esta cesión por carta de 23 de marzo de 2021, en la que se advertía de la posible inclusión en ficheros de morosidad en caso de impago. Con fecha 7 de julio de 2021, la reclamante comunicó a SD IBERIAN PORTFOLIOS que se encontraba inmersa en un procedimiento concursal, pendiente de resolución sobre la exoneración de sus deudas, invitando incluso a la entidad a personarse en dicho procedimiento, reconociendo SD IBERIAN PORTFOLIOS haber mantenido contacto telefónico con la reclamante en esas fechas.

Pese a lo anterior, SD IBERIAN PORTFOLIOS solicitó la inclusión de los datos personales de la reclamante en ASNEF el 2 de noviembre de 2022. El 22 del mismo mes, la reclamante solicitó a ASNEF-EQUIFAX la cancelación de sus datos por haber sido beneficiaria del BEPI, oponiéndose expresamente a cualquier tratamiento ulterior, procediéndose a la baja cautelar a finales de  noviembre, ante la falta de respuesta de SD IBERIAN PORTFOLIOS, notificándole dicha actuación. No obstante, el 9 de enero y el 10 de abril de 2023, SD IBERIAN PORTFOLIOS volvió a solicitar el alta de los datos personales de la reclamante en el fichero, por importes respectivos, sin haber realizado verificación alguna sobre la subsistencia o exigibilidad de la deuda. La reclamante, entre tanto, había ejercido su derecho de acceso ante ASNEF el 17 de enero de 2023, recibiendo respuesta el 26, donde se le confirmaba la inclusión de sus datos a instancias de SD IBERIAN PORTFOLIOS, por una deuda vencida el 29 de mayo de 2019.

SD IBERIAN PORTFOLIOS sostiene que actuó con base legítima, dado que la deuda era exigible en el momento de la inclusión. Sin embargo, consta documentalmente que había sido informada por la propia afectada del procedimiento concursal y de la concesión posterior del BEPI, y que recibió notificaciones de ASNEF-EQUIFAX relativas a las solicitudes de cancelación y a las bajas cautelares. En este sentido, indica la AEPD que alegar el desconocimiento del BEPI resulta incompatible con estas evidencias, particularmente cuando, tras la baja cautelar, la entidad volvió a incluir los datos sin realizar diligencia adicional para verificar la vigencia y exigibilidad de la deuda. Recuerda la AEPD que la baja cautelar en ASNEF constituye una medida temporal adoptada por el corresponsable del fichero cuando existen indicios de que la deuda no es exigible o puede haber sido extinguida. El RGPD impone al responsable del tratamiento el deber de verificar la licitud de los datos antes de su inclusión o reinscripción. En este caso, no se ha acreditado que la deuda fuese cierta, vencida y exigible, requisito imprescindible conforme al artículo 20.1 de la LOPDGDD. La inclusión reiterada de los datos personales de la reclamante en el sistema ASNEF, con conocimiento de la existencia de una resolución firme de exoneración, constituye un tratamiento sin base de legitimación adecuada.  La actuación de SD IBERIAN PORTFOLIOS revela una falta de diligencia incompatible con las obligaciones derivadas del RGPD, del contrato suscrito con SANTANDER y del deber general de responsabilidad proactiva, sin que pueda admitirse sus alegaciones basadas en la supuesta ausencia de traslado por parte de ASNEF del documento de exoneración (BEPI), cuando ella misma había sido notificada directamente por la afectada y era conocedora del procedimiento desde 2021.

La reclamante manifiesta que, tras haber realizado una transferencia bancaria desde su cuenta en Ibercaja a favor de un tercero, al remitirle el beneficiario de la operación un justificante de la transferencia recibida, en el que aparecía, además de los datos financieros, su domicilio completo (calle, número, piso, letra, código postal y localidad). La reclamante alega que nunca facilitó dicho dato al realizar la transferencia y que no autorizó su inclusión en la información comunicada al beneficiario. Adjuntó copia del justificante bancario recibido por el beneficiario, en el que constan: importe, fecha y hora, fecha valor, número de cuenta, nombre y apellidos del ordenante (la reclamante), nombre y apellido del beneficiario, concepto de la transferencia y un apartado titulado “Ampliación remitente de la transferencia”, en el que figura el domicilio postal completo de la reclamante.

Requerida información a Ibercaja, esta indica que al realizar una transferencia a través de su banca online, el ordenante debe introducir obligatoriamente los siguientes datos: cuenta de origen (IBAN), cuenta de destino (IBAN), importe, concepto y denominación del beneficiario. Ibercaja genera un justificante para el ordenante que incluye su nombre y dirección postal, así como otros datos de la operación. Afirma que no remite dicho justificante al beneficiario. Por su parte, CaixaBank, como entidad receptora de la transferencia, señala que el justificante fue generado a partir de la información recibida directamente de Ibercaja y conforme a la normativa SEPA. Según indican, toda la información que se recibe del PSP (Proveedor de Servicios de Pago) emisor debe ponerse a disposición del beneficiario si forma parte del mensaje de pago interbancario (DS- 02), salvo que exista acuerdo en contrario. En este caso, no se aportó ninguna evidencia de que tal acuerdo existiera.

Por parte de la AEPD, se ha constatado que, según las normas SEPA aplicables a transferencias entre entidades situadas dentro del Espacio Económico Europeo (EEE), no es obligatorio incluir la dirección postal del ordenante. De hecho, la dirección solo es obligatoria si el ordenante o beneficiario se encuentra en un país fuera del EEE, circunstancia que no concurre en este supuesto. Además, verificó que en el proceso de ordenación de transferencias desde la banca online de Ibercaja no se exige a los clientes que introduzcan su dirección postal. Tampoco consta que la reclamante introdujera voluntariamente ese dato al ordenar la transferencia. Por tanto, la inclusión del domicilio particular de la reclamante en el mensaje de pago no responde a una exigencia normativa ni a una acción expresa del usuario.

La normativa interbancaria, en particular el esquema SEPA Credit Transfer, contempla que, si se incluye algún dato adicional en el mensaje de pago (como la dirección del ordenante), el PSP receptor debe trasladarlo íntegramente al beneficiario. En este caso, la dirección fue incluida por la entidad emisora sin base legal ni justificación en la normativa aplicable. Como consecuencia de lo anterior, la exposición del domicilio particular de la reclamante al beneficiario de la transferencia, sin haber sido requerido ni autorizado y sin respaldo normativo que lo justifique, constituye un tratamiento indebido de datos personales, al haberse comunicado un dato personal (la dirección postal) no necesario para la finalidad del tratamiento, vulnerando la confidencialidad del tratamiento.

En fecha 6 de febrero de 2024, una trabajadora de la empresa GREENALIA causó baja por incapacidad temporal debido a un trastorno de ansiedad relacionado con su situación laboral. Durante ese periodo, recibió diversos correos electrónicos de compañeros de trabajo, con fechas comprendidas entre el 22 de enero y el 5 de febrero, pese a estar ya en situación de baja médica.

La sentencia de primera instancia estimó parcialmente la demanda presentada por la trabajadora, al considerar vulnerados sus derechos fundamentales a la integridad física y moral, así como al honor y la dignidad, condenando a GREENALIA S.A. a abonarle una indemnización de 1.500 euros por daños y perjuicios. La empresa recurrió la sentencia, negando la vulneración de tales derechos y alegando que los correos electrónicos formaban parte de un hilo preexistente y que no se exigió respuesta por parte de la trabajadora. Sin embargo, el Tribunal Superior de Xustiza de Galicia (TSXG) recuerda que el derecho a la desconexión digital no solo implica que el trabajador no esté obligado a responder, sino que también conlleva el deber de la empresa de abstenerse de enviar comunicaciones laborales fuera del horario de trabajo o en situaciones de suspensión del contrato, como es el caso de la incapacidad temporal.

En este contexto, el TSXG vincula el derecho a la desconexión digital con el derecho fundamental a la integridad moral, protegido por el artículo 15 de la Constitución Española, que salvaguarda al individuo frente a cualquier intervención no consentida sobre su esfera personal o emocional. La recepción de correos electrónicos de carácter laboral durante la baja médica, especialmente tratándose de una baja por motivos de salud mental, como es el trastorno de ansiedad, constituye una intromisión injustificada en dicha esfera personal, impidiendo el adecuado descanso y recuperación de la trabajadora. La conducta empresarial, al no garantizar el respeto a este derecho, proyecta una imagen de disponibilidad permanente de la trabajadora, incluso durante su incapacidad, lo que vulnera su dignidad y su derecho a desarrollar una vida personal y familiar sin interferencias indebidas. Esta actuación contraviene lo dispuesto en el artículo 88 de la Ley Orgánica 3/2018, sobre Protección de Datos Personales y garantía de los derechos digitales, que reconoce expresamente el derecho a la desconexión digital.

En consecuencia, y dado que la carga de la prueba sobre la necesidad de dichas comunicaciones recae en la empresa (arts. 181.2 y 96.1 de la LRJS), sin que esta haya demostrado ni la urgencia ni la imposibilidad de evitar el envío de correos, el TSXG concluye que se ha producido una vulneración del derecho fundamental a la integridad moral de la trabajadora. No obstante, el Tribunal estima parcialmente el recurso de la empresa, al no apreciar vulneración del derecho a la integridad física en sentido estricto, ni del derecho al honor, ya que no consta la existencia de expresiones ofensivas ni divulgación de hechos que afecten a la reputación de la trabajadora. Por todo ello, el TSXG confirma la condena a GREENALIA al pago de 1.500 euros por daños morales derivados exclusivamente de la vulneración del derecho a la integridad moral, manteniendo el resto de pronunciamientos de la sentencia de instancia.

Por parte de la reclamante, se pone en conocimiento de la AEPD una posible vulneración de la confidencialidad de datos personales de clientes del programa Fidelity de OCINE, como consecuencia de un fallo técnico en su aplicación móvil, que provocó el cruce de datos entre usuarios. Requerida información a OCINE, pone de manifiesto que al menos en cuatro ocasiones, distintos clientes accedieron a la app y visualizaron datos personales de terceros, incluyendo nombre, apellidos, correo electrónico, teléfono y número de tarjeta Fidelity, este último coincidente con el número de DNI.

Las primeras incidencias se reportaron a partir del 7 de abril. En todos los casos, los usuarios afectados comunicaban haber accedido a cuentas ajenas o recibido comunicaciones con datos que no les pertenecían. OCINE reconoció la situación, y tras investigaciones internas, se constató que la causa radicaba en un sistema de asignación descentralizada de identificadores. Al realizar altas de nuevos usuarios, los identificadores podían coincidir temporalmente hasta su sincronización central, lo que generaba situaciones en las que un cliente veía los datos de otro durante una ventana de tiempo limitada, especialmente si no cerraba y volvía a iniciar sesión tras la reasignación. El fallo técnico fue diagnosticado el 8 de abril por uno de los proveedores tecnológicos de OCINE, pero pese a conocer la causa, OCINE concluyó que no existía riesgo para los derechos y libertades de los afectados, a pesar de que en sucesivos días siguieron recibiéndose incidencias relacionadas con accesos indebidos a datos personales. Incluso el 17 de abril se alertó de que se había compartido el DNI y dirección postal de una usuaria, sin que OCINE reconsiderara su evaluación del riesgo.

Las comunicaciones internas reflejan que propuso como solución forzar a todos los usuarios de la app a cerrar y volver a iniciar sesión (logout + login), para así invalidar los identificadores obsoletos y evitar accesos cruzados. OCINE aceptó la solución e instruyó a otro de sus proveedores para su implementación. Sin embargo, aunque se elaboraron los textos y enlaces para proceder con la baja de usuarios y la activación de la solución en la tienda de aplicaciones, OCINE no verificó nunca su efectiva implementación ni recibió confirmación de su proveedor.

El 1 de junio, más de un mes después, se reportó una cuarta incidencia, idéntica a las anteriores, lo que evidenció que la solución no se había desplegado correctamente. A pesar de ello, OCINE volvió a considerar que no existía un riesgo relevante. No fue hasta el 6 de agosto que, tras el requerimiento de la AEPD, y en coordinación entre sus proveedores tecnológicos, se bloqueó a nivel de servidor el acceso a datos desde versiones antiguas de la app, cerrando finalmente la vulnerabilidad.

Desde la primera incidencia conocida hasta la implantación definitiva de las medidas correctoras transcurrieron cuatro meses, durante los cuales la seguridad de los datos personales de los 26.397 clientes de la app no estuvo garantizada, siendo OCINE conocedora del problema desde el principio, pero sin que adoptara medidas efectivas con la urgencia necesaria, ni valorase correctamente el impacto que la exposición de datos personales combinados (incluyendo DNI) podía tener sobre los derechos de los afectados. Las conductas descritas ponen de manifiesto la doble vulneración de la normativa; de un lado por la falta de exactitud, por cuanto los datos mostrados por OCINE afectados por el incidente en cuestión, de al menos 8 afectados (dos personas por cruce reportado) no eran exactos; y de otro por la falta de medidas técnicas ni organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, ni actuó con la diligencia exigible ante la detección de una brecha de confidencialidad.