Resoluciones Relevantes Mayo 2025

La reclamante expone que la administración de fincas Fundació Privada De Serveis Per Als Usuaris Del Habitatge Social De Catalunya (en adelante FUNDACIÓN HABITAGE SOCIAL), cesada en enero de 2024, ha cambiado la orden de domiciliación bancaria del recibo del contador del agua de la comunidad propietarios a su propia cuenta corriente. Señala que la compañía de aguas ha procedido a hacer el cambio sin solicitar un certificado de titularidad de la cuenta, donde hubiera constatado que esa cuenta era personal y no de una comunidad de propietarios, y sin tener autorización suya para que ese cargo se hiciera efectivo. Junto a la reclamación se adjunta copia del acta de la reunión de la Junta de propietarios celebrada, en sesión extraordinaria, en la que se acuerda el cese de FUNDACIÓN HABITAGE SOCIAL como administradora de fincas; y copia del recibo girado a la cuenta corriente del reclamante por la Companyia D"Aigues de Sabadell, S.A; y copia de la correspondiente factura trimestral emitida, el 01/03/2024, por la Companyia D"Aigues de Sabadell, S.A.
En el presente caso la conducta de FUNDACIÓN HABITAGE SOCIAL que es objeto del presente expediente sancionador versa sobre el tratamiento que ha efectuado de los datos personales de la reclamante sin una base jurídica que lo ampare. Tratamiento que se ha concretado en incluir los datos personales del reclamante en la orden de domiciliación del recibo del contador del agua de la comunidad propietarios en la que reside el reclamante y de la que FUNDACIÓN HABITAGE SOCIAL fue administradora de fincas, sin disponer de autorización expresa para ello, lo que ha provocado que se emitiera el correspondiente recibo contra la cuenta bancaria de quien reclama para hacer efectivo el cobro.

En este caso, los datos personales del reclamante obraban en poder de FUNDACIÓN HABITAGE SOCIAL en su condición de anterior administradora de fincas de la comunidad de propietarios, apreciándose intencionalidad en la actuación FUNDACIÓN HABITAGE SOCIAL al prevalerse de dicha información para incorporar los datos del reclamante a la orden de domiciliación bancaria del recibo del contador del agua de la comunidad propietarios sin autorización expresa para ello y después de haber cesado su relación contractual con la comunidad de propietarios.

La reclamante, cliente de ING desde 2013, contrató hace años una “Cuenta sin Nómina” con ING. En 2023, ING le comunicó que su cuenta pasaría a denominarse “Cuenta no Cuenta” y que, si el saldo superaba los 30.000 euros (como en su caso), se aplicarían comisiones. Para evitarlas, se le recomendó abrir otra “Cuenta no Cuenta” y repartir el saldo entre ambas. Para ello, debía justificar nuevamente el origen de los fondos ya acreditados.

Sin embargo, en la contratación de la nueva cuenta, ING exigía su consentimiento expreso para solicitar, en su nombre, información sobre su actividad económica a la Tesorería General de la Seguridad Social (TGSS), con el fin de cumplir la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo (LPBCFT). La reclamante aporta una captura de pantalla del proceso de contratación, donde aparece una cláusula que confirma este consentimiento, acompañado de un botón de “Confirmar”. Además, se indica que al pulsar “Aceptar”, el cliente manifiesta haber leído y aceptado el contrato y sus anexos.

La reclamante denuncia que ING solicita esta información a la TGSS de forma indiscriminada y desproporcionada, aplicando erróneamente la LPBCFT. Considera que se obliga a los clientes a autorizar el acceso a datos protegidos, vulnerando principios constitucionales y la normativa de protección de datos. A su juicio, el consentimiento exigido para acceder a la TGSS no debería ser un requisito imprescindible para abrir una cuenta bancaria. Por su parte, ING sostiene que esta práctica se ampara en su obligación legal, conforme al artículo 2 de la LPBCFT, que incluye a las entidades financieras entre los sujetos obligados a aplicar medidas de diligencia debida. Según ING, la cláusula de consentimiento forma parte del proceso de verificación exigido por dicha ley, estando además amparado en un Convenio firmado con la TGSS.

Analizada la cuestión, entiende la AEPD que si bien es cierto que la normativa impone la obligación de verificar la actividad económica de los clientes, no determina un procedimiento concreto, por lo que corresponde a la entidad decidir el modo de hacerlo, siempre en cumplimiento de la normativa de protección de datos personales. El convenio con la TGSS establece que cada entidad financiera debe contar con el consentimiento expreso y firmado del cliente antes de solicitar información. No basta con adherirse al convenio; el consentimiento debe obtenerse de forma válida y específica. Asimismo, la LPBCFT y su reglamento no imponen la verificación directa ante la TGSS como única vía para cumplir con la obligación legal. La normativa prevé que el cliente aporte la información y que, en función del riesgo, se apliquen procedimientos de verificación adecuados. Por tanto, solo en ciertos casos estaría justificado acceder a datos de la TGSS, y siempre con consentimiento válido. No se puede imponer este mecanismo sin base legal clara ni ofrecer alternativas.

En el caso analizado, la cláusula facilitada por ING no contempla procedimientos alternativos para verificar la actividad económica, lo que impide al interesado ejercer un control real sobre sus datos. La verificación de datos personales ante la TGSS por parte de ING, en ausencia de un consentimiento libre y específico o de una base jurídica suficiente, vulnerando con ello la normativa de Protección de Datos.

La reclamante manifiesta que es clienta de NOVATES ALIMENTACIÓN MADRID, S.L. e indica que, con posterioridad a haber realizado la devolución de un producto en sus instalaciones, y al acudir tras dicha circunstancia al establecimiento para realizar nuevas compras, empleados del mismo le indicaron que se había tramitado de forma errónea la devolución y que debía retornar parte del importe recibido. Para ello, le indicaron que contaban con un video procedente del sistema de videovigilancia del establecimiento que recogía el momento de la devolución; video que le enseñó una cajera a través de su móvil y que, posteriormente, le remitió al teléfono personal de la reclamante a través de WhatsApp.

Los hechos muestran indicios de que las imágenes obtenidas por las cámaras de videovigilancia instaladas en el establecimiento de NOVATES, concretamente la cámara que enfoca a la caja, y que fueron accesibles por al menos dos personas, que comentan las imágenes visualizadas. Según describe la reclamante, dichas imágenes motivó que le fuera solicitada la devolución de determinada cantidad, por, presuntamente, una devolución mal efectuada que se produjo con carácter previo y que fue grabada por la cámara en cuestión.

El video en el que se visualizan los hechos fue aportado por la reclamante debido a que el mismo le fue enviado por una responsable del establecimiento. Cabe señalar que el video aportado no es la imagen directamente tomada por la cámara de seguridad, sino un video que pudiera haber sido captado por un dispositivo móvil y que reproduce las imágenes captadas por la cámara. En este sentido, son perceptibles en el video aportado unos movimientos iniciales - indicativos de cierta falta de estabilidad en el dispositivo que estaba captando las imágenes- así como la identificación la reclamante mediante un cursor que se disponía encima de su imagen y que podría estar siendo utilizado desde la visualización original de las imágenes en el monitor correspondiente.

Por lo tanto, puede afirmarse que las grabaciones provenientes de, al menos, esta concreta cámara de seguridad, fueron accesibles a trabajadores de NOVATES, cuya vinculación con las labores de vigilancia se desconoce y no ha sido acreditada. Este acceso permitió que las imágenes fueran captadas por un segundo dispositivo, y dicha captación permitió que el video con las imágenes concretas de los hechos acaecidos con respecto a la reclamante, fueran enviados a ésta a través de WhatsApp. Cabe indicar que el video contenía imágenes no sólo de la reclamante sino de dos clientes más: la cliente que precedía a la reclamante en la cola de cobro, y que permanece durante toda la grabación, y un cliente que entra en el establecimiento al comienzo de la grabación.

Los hechos descritos indican que el tratamiento de los datos personales de los clientes de NOVATES y, más en concreto, los de la reclamante- carecían de las medidas de seguridad de índole técnica y organizativa que prescribe el RGPD. Unas medidas que debían dirigirse, en el caso concreto que aquí nos ocupa, a evitar accesos no autorizados a las imágenes captadas por el sistema de videovigilancia, así como una difusión posterior de las imágenes a las que se accedió- difusión carente de igual forma de cualquier medida de seguridad al haber sido remitida a través de un teléfono móvil.

Por parte de la DGT se comenzó a realizar un tratamiento de datos consistente en la recogida y conservación de datos de identidad y geolocalización de las personas que toman parte en los exámenes para obtener el carné de conducir. Para dicho tratamiento puso a disposición de los examinadores dispositivos electrónicos (tablets) en los que se introducen los siguientes datos: nombre y apellidos de examinadores, alumnos y profesores de autoescuela; firma del alumno; DNI de alumno y profesor; identificador de la prueba; fecha y hora de citación; fecha y hora real de inicio y fin de la prueba; número de autoescuela; faltas cometidas; localización en la que se han cometido faltas; recorrido completo y calificación de la prueba (“apto/no apto”). Los datos eran recogidos en la aplicación informática MEXM-TRAMO y posteriormente volcados en la aplicación EVAL. Todo ello queda recogido en la documentación sobre la aplicación aportada por la DGT. Si bien el reclamante, examinador de tráfico solició información al respecto iba a activar la geolocalización en la jefatura provincial donde presta servicios durante los exámenes de conducir, la DGT se limitó a hacer una breve referencia al 90 de la LOPDGDD e informando que las tablets registran la localización de las faltas como apoyo al examinador en caso de reclamación. A la vista de las actuaciones y de las pruebas practicadas, la AEPD concluye que por parte de la DGT se han cometido las siguientes infracciones:

- Falta de RAT actualizado: El tratamiento relativo a la geolocalización tendría que estar incluido en el RAT y la información correspondiente al mismo, publicada en el inventario del Ministerio del Interior, del que depende DGT. Sin embargo, a fecha de la reclamación el tratamiento no constaba en la información publicada por el Ministerio del Interior; y si bien con posterioridad se modificó y amplió la información en la página web, solo se incluían referencias al tratamiento y a la geolocalización de las faltas cometidas, si bien no a la geolocalización del recorrido completo, sin que lo estén a fecha de hoy.

- Falta de información al interesado: Por otro lado, si bien se facilitó a los examinadores el manual de uso de la aplicación MEXM-TRAMO, en cuya página 12 se indica, en relación con la geolocalización: “la aplicación registrará de forma automática la hora de comienzo cuando el usuario inicie el examen, así como la posición GPS del lugar de inicio del mismo”; dicho manual no incluye más referencia a los tratamientos de la posición ni sobre la protección de datos o los derechos de los titulares de los datos tratados. Tampoco se recogen en los formularios facilitado a los aspirantes con el título “Solicitud de pruebas de aptitud” (facilitado por la DGT) y la información de la página web a la que remite dicho formulario (recogida en el marco de las actuaciones previas de investigación), referencia a la recogida y tratamiento de datos de geolocalización; que si bien adopta un modelo de información por capas, remitiendo a la página web del organismo; en la URL facilitada, tampoco se hace mención a datos de geolocalización. Por tanto, no puede entenderse que se esté facilitando a los interesados la información prevista en el artículo 13 en relación con todos los datos que se recogen de ellos, ya que no se les informa de que esos datos incluyen los de localización. Tampoco en el momento de firmar el alumno en la tablet al realizar la prueba consta que se le facilite la información prevista en el artículo 13 del RGPD.

Por parte de múltiples propietarios, exponen ante la AEPD que la Comunidad de Propietarios publicó en el tablón de anuncios (cerrado con llave) del vestíbulo del edificio, a la vista de cualquiera, un listado de copropietarios deudores, donde se les identifica por el número de apartamento, existiendo otro tablón de anuncios (cerrado con llave) en el referido vestíbulo, donde figura expuesta un acta de la junta, que contiene un listado nominal de los propietarios asistentes a esta, lo que permite identificar a los deudores. Asimismo, indican que la Comunidad ha enviado listas de deudores por correo electrónico a los comuneros en varias ocasiones, con errores en los datos y sin estar justificado su envío. Consideran los reclamantes que la publicación de la lista de deudores en el tablón de anuncios se habría producido fuera de los supuestos previstos la Ley de propiedad horizontal. Además, la lista de supuestos deudores se expondría públicamente, también a personas ajenas a la comunidad, pues el tablón en cuestión se localiza en el vestíbulo del edificio, a la vista de todo el mundo, donde se produce un “intenso tráfico de cientos turistas que pernoctan semanalmente en los apartamentos turísticos (existen unos 115 apartamentos turísticos con alta ocupación)”.

Por su parte, la Comunidad de Propietarios alega que la información publicada figuraba solo el piso y deuda (nunca el propietario). Con ello, no constituiría una “información fácilmente descifrable”. Aparte, señala las dificultades que tienen para realizar las convocatorias de las reuniones, toda vez que son numerosos propietarios (340) y muchos de los envíos por correo electrónico no eran exitosos. Sin embargo, la AEPD rechaza dicha alegación, advirtiendo que el piso es un dato personal que identifica al dueño de la vivienda por lo que no se puede estar de acuerdo con el argumento de la parte reclamante de que los datos personales publicados en el tablón de anuncios no sean una “información fácilmente descifrable.”

Y si bien la normativa de protección de datos personales prohíbe con carácter general la publicación en tablón de anuncios de relaciones de deudores y deudas a la comunidad, permite en supuestos concretos que la publicación se realice, y ello siempre que se indique expresamente el motivo de tal publicación. En primer lugar, de cara a la convocatoria de una reunión de propietarios, con objeto de que puedan conocerse posibles limitaciones en el derecho de voto para propietarios que no se encuentren al día en el pago de cuotas. El otro supuesto consistiría en la notificación de deudas de la comunidad cuando la misma no ha podido llevarse a cabo conforme al art. 9 de la LPH, sin embargo, no se ha demostrado por la Comunidad de vecinos que se hayan realizado intentos infructuosos de notificación de la deuda. Asimismo, consta que la Comunidad ha realizado el envío de los listados de deudores hasta en siete ocasiones por correo electrónico, haciendo referencia a la vivienda, sin que estos listados formaran parte de la convocatoria de ninguna reunión de la comunidad al margen de lo establecido en la LPH, lo que constituye una violación de la confidencialidad de los datos personales de los cuales es responsable la Comunidad de Propietarios.

Por el reclamante se pone en conocimiento de la AEPD una posible infracción imputable a ULPIA TRAJANA ALAMEDA S.L. Indica que reservó un apartamento turístico a través de su plataforma online, y que el propietario establecía la obligación de utilizar la aplicación para realizar el proceso de "check in" de manera online. Manifiesta que la citada aplicación exige fotografiar ambas caras del DNI, así como una fotografía del titular del documento para poder finalizar el check-in y reservar un apartamento. Remite junto a su reclamación copia del correo electrónico enviado a ULPIA, en el que le solicita información del motivo por el que se exigen tantos datos para realizar el check-in. Aporta también captura de pantalla de la aplicación en la que se especifica la siguiente información: “Realiza el check-in validando tu identidad y documentación” y en la imagen del móvil se observa un espacio para subir una foto de la cara frontal del DNI, otra foto de la cara trasera y, por último, una foto selfie para identificación facial.

Por su parte, ULPIA manifiesta haber firmado un contrato con una empresa para la encomienda de la realización del check-in de los huéspedes a la misma a través de la aplicación, y manifiesta que la información requerida es necesaria para el cumplimiento de las obligaciones legales. Respecto al reconocimiento facial, hace constar que, dado que no hay contacto físico con el cliente, todo el procedimiento es online, necesitando el escaneo facial para cotejarlo con la foto del documento y evitar así fraudes de suplantación de identidad.

- Minimización de Datos: Si bien la relación contractual que supone la estancia en un alojamiento justifica el tratamiento de datos personales de los clientes por ULPIA, esto no justifica el acceso a toda la información que contiene el documento de identidad del cliente y, menos aún, la solicitud de una fotografía o imagen de este documento sin que exista una base jurídica que así lo justifique. De acuerdo con la normativa de seguridad ciudadana, se deduce que no es obligatorio recoger, registrar ni comunicar a las autoridades competentes la imagen, fotocopia o imagen completa del documento de identidad de cada viajero, no legitima el tratamiento de datos personales consistente en recabar la copia completa del documento. Y entre esta información que ha de recabarse mucho menos se encuentra una foto selfie para reconocimiento facial. Los datos relativos a la imagen o cara del viajero, el número de equipo, o los nombres de los progenitores del viajero, sobre los que no concurre una obligación legal de recogida, registro, y comunicación, de acuerdo con la mencionada normativa. Todos ellos serían datos personales cuyo tratamiento implica un tratamiento excesivo que es contrario al principio de minimización de datos previsto en el artículo 5.1.c) del RGPD.

- Sobre el tratamiento de datos sensibles: por otro lado, la plantilla biométrica o el vector facial que se extrae de la cara de la fotografía del DNI contra el vector facial que se extrae de la fotografía que se solicita a los clientes, que resultan cotejados entre si demuestra de que se produce una medición que identifica unívoca y únicamente a cada individuo del que se toman las muestras biométricas. Aunque la empresa encargada de la plataforma del “chek in” afirme que una vez realizada la verificación se eliminan las imágenes, no supone que no se haya producido un tratamiento técnicos del rasgo biométrico de la cara, que supone un tratamiento de datos personales de categoría especial, encaminado a identificar y verificar al cliente. Según la información facilitada, dicha empresa no consideraba que los datos personales objeto de tratamiento constituían categorías especiales de datos y, por lo tanto, no ha podido determinar la existencia de alguna de las circunstancias previstas en el art. 9.2 del RGPD para el levantamiento de la prohibición general de tratamiento de categorías especiales de datos y que ha considerado que el tratamiento realizado no afecta a dicha tipología de datos.

La reclamante manifiesta que desde  AD735 DATA MEDIA ADVERTISING le envían continuamente mensajes publicitarios, a pesar de pertenecer a la Lista Robinson y haber solicitado la baja de comunicaciones a través del enlace que aparece en la parte inferior de sus mensajes, haciendo caso omiso a sus peticiones, recibiendo cada vez más correos. Adjunta a su reclamación varios correos remitidos a la dirección electrónica del reclamante desde la dirección de correo electrónico, «…vía AD735 (***EMAIL.1)», incluyendo correos  de múltiples servicios (servicios de cancelación de deudas; máster online; servicios turísticos; de seguros y de servicios energéticos). En todos los correos electrónicos enviados se incluye, en el pie de los mensajes, un apartado informativo que señalaba que los datos personales del destinatario se encuentran en un fichero gestionado por AD735 DATA MEDIA. Dicho apartado informa sobre los derechos de oposición y supresión, así como los canales disponibles para su ejercicio, incluyendo un formulario web y direcciones electrónicas específicas.

Por su parte, AD735 DATA MEDIA presenta alegaciones, indicando que el reclamante presentó la reclamación ante la AEPD el 18/03/24, y que sin embargo la solicitud de supresión sus datos se realizó con posterioridad, el 02/04/24, procediendo a su supresión a partir de dicha fecha.  Sin embargo, la AEPD indica que la reclamación se fundamenta esencialmente en el envío reiterado de comunicaciones comerciales no autorizadas, además de la falta de supresión. Y a pesar de que AD735 aportara documentos que considera suficientes como pruebas de los registros de los consentimientos obtenidos a través de sus plataformas (incluyendo “Fichero log” con detalles del acceso al formulario, incluyendo una dirección IP, fecha y URL; modelo de formulario web, y un certificado de registro en el que figura el e-mail del reclamante); considera la AEPD que los mismos son insuficientes para probar que el consentimiento fuera otorgado por el reclamante de forma válida.

Así, el formulario web presentado es un modelo en blanco que no acredita que el reclamante marcara las casillas pertinentes en el momento de acceder a la página web, si es que este hecho se produjo; y el fichero Log y el certificado de registro tampoco recogen evidencias suficientes que demuestren que el reclamante hubiera prestado su consentimiento expreso para que se le pudiera enviar comunicaciones comerciales, ni consta evidencia de que la reclamada tenga implementados procedimientos adecuados para evitar la introducción de datos erróneos o fraudulentos (como verificaciones de identidad robustas o mecanismos antifraude, como pudiera ser el envío una notificación SMS al móvil y una acción inequívoca para verificar la identidad, pues el simple registro de la dirección IP y el nombre de un correo electrónico no es considerado suficiente para demostrar que el reclamante manifestara su consentimiento expreso a recibir comunicaciones comerciales.

La posterior supresión de los datos del reclamante, aunque pudiera ser considera diligentemente gestionada, no exime a AD735 DATA MEDIA de responsabilidad por los envíos realizados con anterioridad a dicha solicitud ya que no queda aclarado que existiera un consentimiento expreso para ello.  Por tanto, no ha presentado documentación suficiente que cumpla con estas exigencias, limitándose a ofrecer capturas parciales y modelos genéricos que no acreditan que el consentimiento para recibir comunicaciones comerciales fuera otorgado por el reclamante.

Denuncia el reclamante que contrató los servicios de B.B.B. responsable de “Amor Ideal”, una “Agencia de Relaciones Personales, Amistad y Love Coaching”, indicando que en ningún momento se le facilitó ninguna información relacionada con el tratamiento de sus datos personales, no existiendo tampoco información alguna al respecto en el sitio web del negocio. Aporta copia de la factura emitida, en la que se detallan el número de factura, el importe de la misma, la fecha de facturación y la fecha de vencimiento, los datos del emisor, el concepto, el número de cuenta para el pago y un número de teléfono para pago por bizum. Figura también en la factura un sello con el logo y denominación de Amor Ideal Las Palmas y debajo el nombre y DNI de B.B.B., así como una firma manuscrita. No se incluye en la misma información alguna sobre el tratamiento de los datos personales ni política de privacidad. A pesar de haber sido notificado en tiempo y forma, B.B.B. no ha presentado alegaciones

Por parte de la AEPD se ha podido verificar que la página amorideallaspalmas.com no contaba con el apartado “POLÍTICA DE PRIVACIDAD” donde encontrar los datos del responsable del tratamiento para ejercer los derechos establecidos en la ley que la reclamante alegaba y que fue el objeto de esta reclamación. Tampoco en la factura aportada por la reclamante, que acredita la relación contractual del reclamante con B.B.B, contiene información alguna sobre protección de datos de carácter personales.

Por ello, de conformidad con los hechos probados, se considera que la B.B.B. ha cometido una infracción de los deberes de información previstos en el artículo 13 del RGPD, ya que en la factura aportada por la parte reclamante ni la página web tenía política de privacidad ni ninguna información. No obstante, si bien con posterioridad se ha podido comprobar que la página web ya cuenta con el apartado “POLÍTICA DE PRIVACIDAD” que contiene los demás extremos recogidos en el art. 13 del RGPD, esto no supone que la infracción no se haya cometido.

El 29 de agosto de 2020, la señora Visitacion publicó una foto de su enlace matrimonial en su Instagram personal, etiquetando a Sophie et Voila, por lo que apareció enlazada a la cuenta comercial de dicha entidad. Al contener la imagen publicada un enlace a la cuenta de empresa de la recurrente en Instagram, ésta reposteó dicha imagen, utilizando el apartado “historias” de Instagram. Un mes más tarde, Visitacion volvió a publicar otra fotografía en Instagram, etiquetando nuevamente a Sophie et Voila y generando un enlace a su cuenta de impresa, que permitía a todo usuario que accediera al Instagram de Visitacion conocer que el vestido había sido confeccionado por Sophie et Voila. Por su parte, Sophie et Voila incluyó estas dos fotografías en el apartado “historias” de su propio Instagram, si bien tapando con un circulo negro los rostros de Visitacion y su pareja, considerando que las imágenes se habían anonimizado. Por parte de la AEPD se consideró que las imágenes publicadas por Sophie et Voila eran identificables y por eso fueron publicadas en Instagram por la Sophie et Voila, con la finalidad de cobrar por las ventas efectuadas, considerando que la falta de pago no es base de legitimación para publicar imágenes en redes sociales.

Por parte de la Audiencia Nacional, antes de analizar si hubo o no consentimiento a la publicación de la fotografías de su vestido de novia en el Instagram de Sophie et Voila (teniendo en cuenta que fue Visitación quien posteó y por tanto hizo públicas dichas imágenes en su propia cuenta de Instagram, en las que además había etiquetado a Sophie et Voila, permitiendo a ésta compartir tales fotos en su perfil), analiza si los datos de imagen publicados por Sophie et Voila en su Instagram, referentes a la imagen de la reclamante, el día de su boda, con un vestido de tal Sophie et Voila, en actitud distendida, en un jardín exterior y en que las caras de ambos contrayentes están tapadas con un círculo negro, constituyen o no datos de carácter personal, concepto clave en la normativa de protección de datos.

De la normativa de protección de datos, el concepto de dato es bastante amplio, incluyendo como tal también el dato seudonimizado, que cabría atribuir a una persona física mediante la utilización de información adicional, teniendo en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, a tenor de la tecnología disponible en el momento del tratamiento.

En base a los hechos concretos, la Audiencia Nacional considera, sin embargo, que las imágenes publicadas en el Instagram de la Sophie et Voila no pueden ser conceptuadas como tal dato personal. Se trata de imágenes que previamente fueron publicadas en el Instagram de Visitación, publicación en la que además hacía referencia a la empresa que confeccionó el vestido que ha sido la que finalmente las ha publicado. Dichas imágenes se captaron en un jardín exterior sin dato identificativo alguno y en que el rostro de la reclamante (y de su contrayente) aparece totalmente tapado circulo negro y por tanto anonimizado. Una cosa es que Visitación haya identificado como suyas las imágenes publicadas, porque previamente habían sido posteadas en su propia página de Instagram, y otra distinta que dichas imágenes, con el rostro totalmente tapado, y sin ningún elemento adicional, permitan la identificación de dicha persona. Por ello, considera la Audiencia Nacional que son datos anonimizados, de forma que la afectada ya no es identificable, al haber dejado de serlo mediante la técnica del borrado total de su rostro. Así, ha de tenerse en cuenta que una vez eliminados totalmente los rasgos de la cara, ya no es posible su identificación salvo con unos costes y un tiempo extraordinarios, es decir, con grandes esfuerzos, a tenor de la tecnología disponible, por lo que tal imagen ha dejado de ser un dato de carácter personal.

Por parte de la Audiencia Nacional, se dictó sentencia parcialmente estimatoria, reduciendo las sanciones impuestas por la AEPD, pero confirmando las infracciones cometidas por Vodafone en el PS-00059-20222, considerando que Vodafone era Responsable de las campañas de mercadotecnia efectuada por las entidades colaboradoras (Casmar y TQF), por cuanto atendiendo a sus propios objetivos, influye en el tratamiento de datos personales y participa en la determinación de los fines y los medios de dicho tratamiento, siendo la Entidad Colaboradora encargada del tratamiento desde el principio, sin interrupción, de manera que las entidades que hayan sido contratadas por las entidades colaboradoras tendrán la condición de subencargadas del tratamiento. Asimismo, afirma que Vodafone tiene la obligación de controlar el tratamiento de sus colaboradores, implantando todo tipo de sistemas y medidas de seguridad y monitoreo que verifiquen el cumplimiento de sus instrucciones y el cumplimiento de la normativa de protección de datos, y en virtud del principio de responsabilidad proactiva (artículo 5.2 RGPD) ser capaz de demostrarlo, lo que no efectuó pues la problemática seguía produciéndose, sin solución de continuidad, quedando acreditada la infracción del artículo 28 en relación con el artículo 24 del RGPD. Señala también que es el Responsable de la transferencia internacional de datos sin las debidas garantías  acordada entre Vodafone y Casmar, a través de la entidad subencargada con sede en Perú, estando obligado a imponer y establecer las debidas garantías para que pueda realizarse esa transferencia internacional conforme a los requisitos establecidos en el RGPD, lo que no ha hecho permitiendo tratamientos en ese tercer país sin las garantías legales adecuadas.

Partiendo de lo anterior, entiende el Tribunal Supremo que el interrogante jurídico que se suscita en este recurso no carece manifiestamente de interés casacional objetivo y plantea cuestiones jurídicas de alcance general, referidas al Responsable del tratamiento de los datos de carácter personal y el deber de las empresas de supervisar activamente a sus colaboradores externos en el tratamiento de datos, incluso cuando utilizan bases de datos propias, así como el margen de apreciación de que gozan las autoridades de control en estos casos, que trascienden del caso objeto del proceso.

Por tanto, admite el recurso de casación para la formación de jurisprudencia consiste en determinar: (i) si las entidades que realizan acciones de mercadotecnia sobre productos de un tercero utilizando sus propias bases de datos (en este caso, las Entidades Colaboradoras) actúan como responsables o actúan como encargadas en relación con el tratamiento de datos personales; (ii) si la AEPD está obligada a especificar medidas concretas, o puede exigir genéricamente el cumplimiento del RGPD en línea con el principio de responsabilidad proactiva, y si el inciso “cuando proceda” previsto en el art. 58.2.d) debe interpretarse como una facultad o como una obligación

La reclamante expone ante la AEPD que en el año 2017 denuncio a B.B.B. por un robo con violencia hacia su persona, y que por B.B.B a fecha de hoy está difundiendo sus datos personales como su DNI, número de teléfono y dirección en Facebook, con una foto suya difamándole como un delito de racismo. Indica que también ha subido sus partes médicos del robo con violencia que cometió hacía él, documentos en los que aparecen todos sus datos personales (dirección de Trabajo, DNI, teléfono, etc.). Aporta junto a la reclamación captura de pantalla de una publicación, de fecha 18/11/2022 a las 11:35 horas, del perfil de Facebook B.B.B. en la que aparece una fotografía del rostro de una mujer que correspondería a la reclamante; Partes médicos de la reclamante (en la que son legibles, entre otros datos, el Nombre y apellidos, Domicilio del paciente, NIF, Informe de Alta de Urgencias, Motivo de consulta, Declaración de Sanidad, emitida por el médico forense) y Escrito dirigido al Juzgado en el que son legibles datos personales de la reclamante (nombre y apellidos, entre otros).

Por su parte, B.B.B. presenta alegaciones en las que manifestaba su “indignación por su parcialidad ante un claro caso de racismo que los convierte a su Agencia muy española de racista por su complicidad habiendo yo presentado ante las redes sociales las pruebas que sustenta mi denuncia por racismo contra A.A.A.”.

Analizado los documentos, resulta evidente que B.B.B está realizando un tratamiento de los datos de salud de la reclamante desde el momento en que publica en su perfil de Facebook los partes médicos de esta sin censurar. En las imágenes se aprecia con total claridad las observaciones del personal sanitario que atendió a la reclamante. Los datos relativos a la salud, por su naturaleza, pertenecen a categorías especiales de datos, reguladas en el artículo 9 del RGPD, que establece una prohibición general de su tratamiento. Así pues, su tratamiento requiere la concurrencia de alguna de las circunstancias recogidas en el apartado 2 del citado artículo que levante la prohibición general de tratamiento. No obstante, no consta en las actuaciones, y tampoco ha sido justificado por la parte reclamada, que concurra ninguna de las circunstancias que salven la prohibición de tratamiento de tales datos personales.

Por otro lado, la publicación que figura en el perfil de Facebook de B.B.B. no solo revela datos relativos a la salud de la reclamante, sino también, su imagen y datos personales identificativos (nombre, apellidos, número de móvil y domicilio, entre otros). Examinada la documentación que obra en el expediente administrativo, resulta evidente que el tratamiento realizado por B.B.B. en relación con los datos personales de la reclamante se ha efectuado sin causa legitimadora de las contempladas en el precepto transcrito.

El reclamante expresa que fue contratado, por la empresa SERVICIOS DE INTEGRACIÓN DE ANDALUCÍA, centro especial de empleo (SIA) como teleoperador de 6 meses a jornada completa, en la modalidad de teletrabajo, solicitándole empadronamiento en Málaga (a 130kms de su residencia habitual), que fue aceptada. Asimismo, señala que la coordinadora que le formó le indica que lo va a incluir en un grupo de WhatsApp para recibir comunicaciones internas de trabajo. El reclamante manifiesta ignorar que SIA debía recabar el consentimiento para la inclusión de su teléfono personal, indicando que expresa que nunca le solicitaron el consentimiento y, además, no le facilitaron un teléfono corporativo. Asimismo, se queja del volumen excesivo de notificaciones que SIA le mandaba a su teléfono, así como las llamadas recibidas, lo que le produjo que acabara enfermando.

Por parte de la reclamada se indica que SIA en la formación inicial, se explica a las personas que teletrabajan que, debido a no estar en el mismo espacio físico de trabajo, pueden utilizar la herramienta WhatsApp para recibir instrucciones que requieran inmediatez y a su vez plantear a su coordinador/a las dudas que puedan tener las personas trabajadoras relacionadas con su trabajo. El uso de la herramienta WhatsApp es voluntario. Si una persona no quiere hacer uno de esa herramienta, puede recibir las instrucciones por correo electrónico, indicando que se pierde en ese caso la inmediatez de respuesta por parte del/de la coordinador/a a las dudas que plantee el/la trabajador/a. Con el objeto de facilitar la desconexión digital y no emplear el teléfono móvil personal para fines laborales, se recomienda a la persona que utilice la aplicación “WhatsApp web desde el ordenador facilitado por la empresa y que se silencie el grupo de WhatsApp fuera del horario laboral”.

Si bien se planteó inicialmente la inadmisión de la reclamación, el reclamante presentó escrito, indicando que por parte de SIA no se ha aportado las cláusulas y autorizaciones mediante las cuales el reclamante consienta a este tratamiento. Tampoco acredita haber ofrecido a los trabajadores una alternativa al uso de su teléfono personal para las comunicaciones. Al contrario, al admitir la existencia de una alternativa, reconoce que el uso del número personal en WhatsApp, revelando este dato a todos los demás trabajadores, no resulta un medio “necesario”, existiendo alternativas menos lesivas para su derecho a la protección de datos que no se utilizan por defecto de forma injustificada.

Así, en el presente caso, consta que el teléfono personal del reclamante había sido incluido por SIA en un grupo de WhatsApp de los trabajadores de la empresa al objeto de recibir comunicaciones internas de trabajo. La inclusión del número en dicho grupo de WhatsApp también implicó la recepción por el reclamante de comunicaciones de carácter laboral fuera de su horario, así como de información de índole más personal (también consta el intercambio de mensajes relativos, por ejemplo, a la boda de la hija de una de las integrantes del grupo). Dicho tratamiento fue realizado sin recabar el consentimiento del reclamante y sin que haya quedado acreditada ninguna otra base de legitimación de las previstas en el art. 6 RGPD. Y cabe recordar que corresponde al responsable del tratamiento acreditar que el mismo cuenta con una base de legitimación.

La reclamante solicita el acceso a los datos que figuren registrados a su nombre en el fichero de solvencia patrimonial y crédito ASNEF. ASNEF le remitió a su domicilio un escrito en el que se le comunicaba la inclusión de sus datos personales en el fichero, dada su condición de avalista de un préstamo hipotecario suscrito por terceros con la UNIÓN DE CRÉDITO PARA LA FINANCIACIÓN MOBILIARIA E INMOBILIARIA EFC (CREDIFIMO), debido a un supuesto impago de las cuotas de este.

Recibida la comunicación de dicha inclusión, la reclamante contactó con los titulares del préstamo, quienes le acreditaron estar al corriente de pago mediante los comprobantes de los pagos realizados y con la copia de la Sentencia, que estimaba la demanda interpuesta por los prestatarios contra la CREDIFIMO. Ante esta información, la reclamante requirió por escrito a la CREDIFIMO que procediera a darle de baja en el fichero, ya que no solo no reconoce la deuda, sino que tampoco ha sido requerido en ningún momento para para pagar importe alguno, sin que haya sido atendida su reclamación. Según CREDIFIMO, el préstamo objeto de reclamación permanece impagado desde septiembre de 2009, y en ese momento se le enviaron las cartas de reclamación de pago, conteniendo el aviso de su inclusión en ASNEF, momento a partir del cual quedaron recogidos sus datos en el citado registro de solvencia. No obstante, no acredita tal extremo alegando que le resulta imposible aportar la documentación. Añade, que por una serie de errores informáticos, se dio de baja al reclamante en el fichero ASNEF y una vez producido un nuevo impago y la deuda incrementarse a más de 90 días, el sistema lo dio nuevamente de alta en enero de 2023.

En el presente caso, CREDIFIMO, en su escrito de respuesta a la solicitud de información requerida por la AEPD no acredita haber informado a la reclamante en el contrato o en el momento de requerir el pago sobre la posibilidad de su inclusión en un sistema de información crediticia, tal y como establece el artículo 20.1 c) de la LOPDGDD anteriormente transcrito. El acreedor ha de requerir de pago al deudor e informarle en el contrato o en el momento de requerirle el pago acerca de la posibilidad de inclusión de sus datos en dichos sistemas, con indicación de aquéllos en los que participe. En consecuencia, no resulta suficiente demostrar únicamente el impago de una deuda cierta, vencida y exigible, sino que será preciso que el acreedor también justifique haber requerido de pago al deudor y haber cumplido esta obligación formal de información, con anterioridad a la inclusión de los datos personales de su deudor en el sistema. El acreedor debe acreditar el cumplimiento de este deber, de tal manera que cuando el afectado niegue haber sido requerido de pago o informado con carácter previo a la inclusión de sus datos en el sistema de la posibilidad de esta inclusión, el acreedor deberá acreditar que ha cumplido estos requisitos.

El hecho de que CREDIFIMO comunicara los datos de la reclamante para su inclusión en el sistema de información crediticia ASNEF evidencia un tratamiento de los datos personales de la reclamante, no constando acreditada ninguna de las bases de legitimación previstas en el artículo 6 del RGPD, pues CREDIFIMO se limita a decir que informó en las cartas de reclamación del pago, pero sin aportar las referidas comunicaciones. En este contexto, la falta de cumplimiento de los requisitos previstos en el art. 20 LOPDGDD impide que resulte de aplicación la presunción de interés legítimo que el mismo prevé, por lo que será CREDIFIMO la que deba acreditar que en este caso el tratamiento se encuentra legitimado. Por tanto, se considera que los hechos conocidos son constitutivos de una infracción, imputable a CREDIFIMO, por vulneración del artículo 6 del RGPD.

El reclamante manifiesta ante la AEPD que, entre otras cuestiones, que la página , https://www.freshlycosmetics.com/es/, propiedad de FRESHLY COSMETICS, S.L, ya fue multada hace 2 años por no tener las cookies correctamente pero a fecha de hoy sigue utilizando cookies sin pedir permiso. Por parte de la AEPD, se observa lo siguiente:

- Utilización de cookies que no son de naturaleza técnica o necesaria sin el previo consentimiento del usuario, al acceder por primera vez a la página web https://www.freshlycosmetics.com/es/ una vez limpiado el equipo terminal de historial de navegación y de cookies, sin aceptar nuevas cookies ni realizar ninguna acción sobre la misma se utilizaban las siguientes cookies de naturaleza no técnica previo al consentimiento del usuario, cookies de rendimiento/analíticas (AB_CHECKOUT y AB_SHIPMENTCOST) y cookies de segmentación/publicitarias (_dyjsession; _dyid; DYID y _dyid_server).

- Sobre el banner de información de cookies, si bien se informa del uso de cookies, a la hora de otorgar o denegar el consentimiento, si se opta por no prestar el consentimiento a la utilización de cookies que no sean técnicas o necesarias cliqueando en la opción <<Personalizar>> la web despliega un panel de control donde los grupos de cookies se encuentran premarcados en la posición “ON”. Esto es, aceptando, por defecto, la utilización de cookies que no son técnicas. E incluso, tras desmarcar los grupos de cookies, tras cliquear la opción de usar solo cookies necesarias, se comprueba como la web sigue utilizando cookies que no son estrictamente técnicas o necesarias.

- Sobre la posibilidad de modificar el consentimiento en cualquier momento de la navegación web, en el presente caso, si se desea modificar el consentimiento, NO existe la posibilidad de acceder nuevamente al panel de control de cookies para modificar el consentimiento una vez prestado éste. Tras las evidencias obtenidas se determina por parte de la AEPD la infracción del art. 22.2 LSSI, con el agravante de reincidencia, pues se constata que dicha entidad ya fue sancionada anteriormente por los mismos hechos en el expediente PS/00315/2022.

Por el reclamante, se denuncia que su vecina instaló hace más de un año una mirilla digital en su puerta que se encuentra a menos de dos metros de la mía, porque tuvo un altercado con su mujer que se entiende que graba. Por su parte, A.A.A. responde que desde hace cuatro años soporta agresiones, insultos y amenazas constantes de sus vecinos de la puerta dos, fundamentalmente de su vecina, por lo que ha interpuesto varias denuncias ante la Policía Nacional, aportando diversos atestados por denuncias. Dicha situación en la que vive provocada por sus vecinos, se encuentra en un estado de intranquilidad constante llegando a temer por su vida, lo que le ha provocado necesitar ayuda psicológica. Ante esta circunstancia y por consejo de la policía decidió, por su propia seguridad personal instalar una mirilla digital grabadora en su puerta. Para ello, previamente solicito a los copropietarios su permiso para su instalación, los cuales acordaron por unanimidad autorizar a dicha puerta poner la mirilla digital, adjuntándose acta de la Junta General Extraordinaria de la comunidad de propietarios.

La «mirilla digital» es un dispositivo digital que incorpora una cámara y una pantalla que permite observar quien está al otro lado de la puerta, siendo su uso necesario para ciertas personas discapacitadas o por motivos de seguridad del inmueble, al permitir cómodamente visionar quien está llamando al timbre o a la puerta del inmueble. La presencia de una mirilla digital, cuya instalación no es negada por A.A.A., obedece al motivo expuesto, las continuas amenazas realizadas por la vecina referenciada, que han sido objeto de reproche penal por medio de Sentencia de fecha 05/07/22 en la que se considera acreditado la existencia de «amenazas leves» del artículo 171.7 de Código Penal.

En este caso en concreto, se considera que la mirilla digital, cumple una función disuasoria, frente al agravamiento de los conflictos entre las partes, estando limitado el espacio a la zona que afecta a ambas partes, al ser vecinos puerta con puerta, con el riesgo que ello conlleva. El efecto de la misma se limita a un espacio limitado, como es la zona de descansillo, por lo que el impacto de la medida es el mínimo imprescindible para cumplir la finalidad del mismo, que no es otro que evitar las continuas situaciones descritas.

Por parte de la AEPD, a raíz de la denuncia presentada por la Direcció General d’Ordenació i Regulació Sanitària de la Comunidad Autónoma de Cataluña, se pone en conocimiento que en el marco de inspecciones a oficinas de farmacia, se detectaron posibles vulneraciones de la normativa de protección de datos personales, entre las que se encontraban accesos y cesiones indebidas de datos de salud y el intercambio de datos personales a través de medios electrónicos no seguros. Durante la inspección, el titular de la farmacia A.A.A. confirmó que suministraba pañales a los residentes de la RESIDENCIA.1 desde mediados de 2023, siguiendo la indicación de la farmacia B.B.B. Manifestó que la información de los residentes (nombre, CIP, pauta médica) le llegaba mediante ficheros Excel enviados por correo electrónico. Para la dispensación de los productos, accedía a la receta electrónica a través del programa PROGRAMA.1, utilizando credenciales proporcionadas por la farmacia B.B.B. El farmacéutico indicó que no mantenía contacto directo con los residentes y que toda la gestión se canalizaba a través de la otra farmacia. Según explicó, la farmacia B.B.B. le facilitaba los códigos de acceso para consultar las recetas electrónicas y le remitía periódicamente listados con los residentes a quienes debía suministrar los pañales. Por su parte, la farmacia A.A.A. elaboraba un correo con la relación de pagos efectuados por los residentes, que luego remitía a la farmacia B.B.B. Las actuaciones de la AEPD permitieron constatar que la farmacia A.A.A. accedía a la base de datos de pacientes de las residencias a las que la farmacia B.B.B. prestaba un servicio de Sistema Personalizado de Dosificación. La otra farmacia le proporcionaba claves de acceso para consultar las recetas electrónicas y remitía listados con los residentes a los que debía dispensar los pañales. Posteriormente, la farmacia A.A.A. enviaba un correo electrónico con la relación de los pagos realizados por los residentes, que era retribuido por la farmacia B.B.B. De las investigaciones se desprende lo siguiente:

- Falta de base de legitimación: El tratamiento de datos personales requiere contar con una base legal adecuada (art. 6 RGPD). La farmacia A.A.A. dispensaba pañales a los residentes de centros geriátricos y trataba sus datos personales (incluidos datos de salud), pero no acreditó ninguna base legal que legitimase estos tratamientos. No contaba con el consentimiento de los afectados, ni existía contrato alguno entre A.A.A. y los residentes. No se constató que concurriesen supuestos de obligación legal, interés público, interés vital o interés legítimo que justificaran el tratamiento, ya que ninguno resultaba aplicable en este caso.

- Ausencia de información a los interesados: Cuando se obtienen datos personales que no proceden directamente de los afectados, el responsable debe facilitarles la información exigida por el art. 14 del RGPD. La farmacia A.A.A. no acreditó haber informado a los residentes cuyos datos trataba para la dispensación de pañales, pese a que estaba obligada a hacerlo con prontitud y, en cualquier caso, en el plazo máximo de un mes o en el momento de la primera comunicación.

- Falta de medidas de seguridad: Se verificó la ausencia de medidas técnicas y organizativas adecuadas (art. 32 RGPD). Según el acta de inspección, el intercambio de datos personales de los residentes se realizaba de manera habitual mediante el envío de archivos Excel no cifrados por correo electrónico desde la cuenta ***EMAIL.1. Estos archivos incluían datos de salud de los residentes. Tras recibirlos, la farmacia A.A.A. enviaba un correo electrónico a la misma dirección con la relación de las aportaciones económicas realizadas por los residentes, información que posteriormente la farmacia B.B.B. le abonaba.

Por la AEPD se dictó resolución de procedimiento sancionador contra Caixabank, en relación con las condiciones en materia de protección de datos personales cuya aceptación le exigía a sus clientes, cuestionando la cesión de sus datos personales a todas las empresas del Grupo Caixabank y el procedimiento dispuesto para cancelar dicha cesión que obligaba  a dirigir un escrito a cada una de las empresas. En ese mismo procedimiento, FACUA denunció que en relación con el contrato marco que suscribían sus clientes, mediante el que se recogen sus datos, no podía negociarse por el interesado, imponiéndole el consentimiento en el tratamiento de sus datos y la cesión de los mismos a terceras empresas con las que aquél podría no tener relación. La AEPD acabó sancionando a CaixaBank por dos infracciones, una del artículo 13 y 14 RGPD, al no informar adecuadamente del tratamiento de datos; y otra del artículo 6 por considerar que el consentimiento estaba viciado, al no haber sido debidamente informados del tratamiento de datos. Ante la Audiencia Nacional, CaixaBank alega múltiples cuestiones, si bien se estima únicamente dos:

- Existencia de concurso medial: CaixaBank sostiene que la infracción de los arts. 13 y 14 Reglamento, que ha venido denominando leve el recurrente a lo largo de toda su demanda, sirve o ha servido de medio para la comisión de la infracción referida al consentimiento. La entidad Caixabank ha ofrecido información deficiente como ya hemos apreciado en los fundamentos anteriores por lo que está realizando un tratamiento ilícito, y en ocasiones, en efecto, esa información deficiente puede llevar un consentimiento viciado. Y es aquí donde aparece la duplicidad sancionadora si se puede llamar así, esto es , ese incumplimiento de un deber de información (arts. 13 y 14 RGPD) ha sido medio necesario para llevar obtener un consentimiento viciado, carente de validez. La entidad no proporcionó adecuadamente la información exigida en los preceptos señalados por ello el cliente al firmar el contrato no está otorgando un válido consentimiento, infringiéndose el art. 6 Reglamento que absorbe los arts. 13 y 14.

- De las agravantes: La AEPD fundamenta la aplicación de dicha agravante por entender que las deficiencias encontradas en la información revisten especial gravedad. A este respecto, debemos considerar que la gravedad de la infracción es consustancial al hecho típico que se sanciona. La infracción consiste en ofrecer información vaga, imprecisa, incorrecta, insuficiente y poco clara y es lo que ha conducido a otorgar un consentimiento viciado. De  esa manera se obtienen consentimientos que no son válidos pues en el momento de la contratación se otorgan consentimientos para cesiones y otros servicios escasamente aclarados, confusos. Es por ello, que esta circunstancia no la consideramos de apreciación. Otra agravante tomada en consideración es la intencionalidad o negligencia de la infracción del artículo 83.2.b)del RGPD, pero la negligencia o la intencionalidad son los elementos subjetivos consustanciales a la propia infracción, y para considerar apreciable esta circunstancia debe acreditarse un plus de intencionalidad o negligencia cuya acreditación no se ha producido. La resolución considera agravante que la entidad imputada no tenga implantados procedimientos adecuados de actuación en la recogida y tratamiento de datos, art. 83.2 h)del Reglamento, entendiendo este Tribunal que esta cuestión es consustancial a las infracciones cuestionadas por lo que no se considera apreciable en ninguna de las dos infracciones.

En consecuencia, la Audiencia nacional, en atención a lo expuesto, considera únicamente la comisión de la infracción del art. 6 RGPD, por ser la sanción más grave, al apreciarse la existencia de concurso medial, excluyendo del cómputo las agravantes anteriormente indicadas, reduciendo la sanción de 4 a 2 millones de euros.

El reclamante denuncia ante la AEPD que la entidad Mármoles y Granitos Mejías SL es responsable de un sistema de videovigilancia con cámaras que se orientan a la vía pública, sin que cuenten con autorización administrativa previa para ello, aportando imágenes de la fachada del establecimiento, donde se aprecia una cámara de videovigilancia y un simple aviso en un cartel escrito a mano «Vigilancia permanente. Aviso Policía» . Tras un doble intento de notificación postal, se procedió a la publicación del Acuerdo de apertura en el BOE.

Asimismo, el instructor del procedimiento acordó requerir colaboración a las Fuerzas y Cuerpos de seguridad del Estado para que deslazados al lugar de los hechos constataran la operatividad del sistema, así como si la zona videovigilada estaba debidamente informada; recibiendo contestación en la que se indica “se observa que el local está siempre cerrado, si bien el responsable de dicha empresa es B.B.B. (***NIF.1), (…) y actualmente según fuentes vecinales se ha trasladado a vivir a ***LOCALIDAD.1, sin saber con exactitud el domicilio del mismo. Que efectivamente tiene una cámara de video- vigilancia que está enfocada hacia la acera exterior de dicho local y sin tener cartel informativo en zona visible indicando que se trata de zona de videovigilancia. Que como no ha sido posible ver al propietario el agente que suscribe no sabe exactamente el espacio que capta y si es espacio público o privativo de tercero”.

Inicialmente por la AEPD se emite «Propuesta de Resolución» en la que se propone una sanción de 1.000 €, al haberse constatado tras la personación en el lugar de los hechos la fuerza actuante, la presencia de cámara exterior orientada hacia vía pública, sin contar con cartel informativo en legal forma, quedando acreditada la infracción del artículo 13 RGPD. Sin embargo, a raíz del desplazamiento de las Fuerzas y Cuerpos de Seguridad del Estado al lugar de los hechos, aun cuando se pudo constatar que  al menos que la cartelería informativa no se ajusta a la legalidad vigente, disponiendo de una cámara que pudiera afectar a espacio público y/o de terceros sin causa justificada, su operatividad no ha podido ser acreditada. En consecuencia, no se ha podido probar ninguna de las infracciones expuestas, dado que, si la cámara es disuasoria, falsa o está desactivada, no sería necesario colocar cartel informativo en la fachada exterior. Por diversas razones, muchos establecimientos se han visto obligados a cerrar su actividad, si bien no es inhabitual que no desmantelen el sistema de cámaras, en ocasiones para evitar una ocupación no legal de las instalaciones o actos de vandalismo o pillaje en estas, lo que no implica un tratamiento de datos, procediendo al archivo del mismo

Por parte de la AEPD se tuvo conocimientos de hechos que podrían constituir una posible infracción imputable a ATRESMEDIA CORPORACIÓN DE MEDIOS DE COMUNICACIÓN, al haberse publicado en un medio de comunicación de un vídeo de contenido violento en el que se escuchan las voces de los agresores y de la víctima. En concreto, consta que ATRESMEDIA publicó, a través de un enlace web, una noticia que venía acompañada de un vídeo donde aparecían varios menores (víctima y agresores) y uno (…). Si bien es cierto que sus rostros aparecían pixelados, no ocurría lo mismo con sus voces —al menos, de 3 personas: víctima, agresor físico y el que graba— ya que se apreciaban con toda nitidez; constituyendo ello un tratamiento de datos personales de los participantes. Sentado lo anterior, en primer lugar, cabe recordar que las personas tienen el poder de disposición sobre sus datos personales, incluyendo su voz, así como sobre su difusión, resultando, sin lugar a dudas, merecedora de protección la persona cuyos datos personales se difundan vulnerando el ordenamiento jurídico.

En concreto, el principio de minimización de datos exige la evaluación del cumplimiento de la necesidad y proporcionalidad en relación a la finalidad del tratamiento, teniendo en cuenta si los fines perseguidos pueden alcanzarse o no a través de medidas menos intrusivas. Y en este caso, el requisito de la necesidad no se cumple cuando el objetivo perseguido puede alcanzarse razonablemente de manera tan eficaz por otros medios menos con menos riesgo en relación con los derechos y libertades de los interesados, en particular respecto de los derechos al respeto de la vida privada y de protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE. En este sentido, y atendiendo a las circunstancias del caso analizado, en el que se han difundido datos personales- la voz de varios jóvenes- que forman parte de un contenido informativo que ATRESMEDIA dirige a sus lectores, ha de entenderse que son de aplicación los límites señalados por la jurisprudencia en cuanto a la necesaria salvaguarda de los derechos fundamentales de los afectados.  Y es que si otra implementación de tratamiento podría lograr el mismo objetivo y está disponible según los términos descritos o si no se precisa tratar datos personales para obtener el mismo fin, se puede prescindir de tratar dichos datos personales, o se puedan tratar con menos extensión e intensidad de uso de esos datos, será preferible esta vía y supondrá que no es necesario llevar a cabo tratamiento alguno de datos, y subsidiariamente, que la recogida de datos sea necesaria para la finalidad establecida o pretendida y si lo fuera, que sea proporcional.

Las reclamantes manifiestan haber sido afectadas por la brecha de datos personales que tuvo lugar en el sitio web https://www.madcoolarea.es/area/ el pasado 11 de abril de 23. Ese día, MAD COOL abrió dicha página web para confirmar los datos de envío de unas pulseras para el festival de música que organizaba. Una vez introducidos los datos de acceso (cuenta de correo y el código de entrada) por los usuarios, se podían visualizar los datos personales de otras personas que también se encontraban dadas de alta en la plataforma.

Según manifiesta MAD COOL, durante la mañana del lanzamiento del formulario web, se realizó una migración de la plataforma a un servidor nuevo y, en el transcurso de dicha migración, no fue desactivada una micro-caché existente en ese servidor. Esta micro-caché de dos segundos ocasionaba que desde que un usuario accedía al formulario, durante un máximo de 2 segundos, los siguientes usuarios que accedían vieran sus datos. Una vez transcurrían esos 2 segundos, los datos del usuario dejaban de mostrarse. Tras investigar los hechos, MAD COOL manifiesta que la ventana temporal del incidente sería desde las 14:45 hasta las 15:15 del mismo día. Al día siguiente, tras recibir correos electrónicos de los usuarios afectados, informando sobre el incidente y solicitando explicaciones, MAD COOL hizo público un comunicado en su web. El incidente afectó a 406 personas, vieron divulgados sus datos personales relativos a nombre y apellidos; dirección postal, número de teléfono y correo electrónico.

De las actuaciones de investigación, entiende la AEPD que se ha visto vulnerado el principio de confidencialidad debido a un fallo técnico en la configuración del servidor que alojaba el formulario de confirmación de datos personales. Durante la migración a un nuevo servidor, la micro-caché activa en el sistema habría permitido que los datos personales de un usuario que accedía al formulario fueran visibles durante unos segundos por otros usuarios que ingresaban en ese intervalo. Este fallo técnico habría expuesto datos personales de forma no autorizada, comprometiendo su confidencialidad. Asimismo, entiende que no se habrían implementaron controles suficientes para garantizar que el servidor estuviera configurado correctamente antes del lanzamiento del formulario. La decisión de realizar una migración en un momento crítico, el mismo día del lanzamiento, sin realizar las pruebas adecuadas para identificar posibles fallos técnicos, pone de manifiesto una grave negligencia del responsable del tratamiento que posibilitó directamente la brecha de datos personales.

El reclamante manifiesta que en las instalaciones de GALENICUM HEALTH no hay cartel informativo relativo al sistema de videovigilancia. Junto a la notificación se aporta imágenes de la ubicación de las cámaras y de correo electrónico remitido por la reclamante a GALENICUM HEALTH poniendo de manifiesto los hechos. Por su parte, GALENICUM HEALTH confirma a la AEPD que dispone de un sistema de videovigilancia, gestionado por una empresa externa. Para poder visualizar las imágenes, se debe acceder al sistema, al cual solo puede acceder personal de dicha empresa, a través del sótano, en una sala que no es accesible al resto de personal. Con dicha empresa se ha suscrito un contrato de prestación de servicios. Asimismo, informa que las imágenes obtenidas son conservadas un plazo de treinta (30) días, y se compone de 21 cámaras adjuntando imágenes de las mismas. El sistema de videovigilancia cuenta con varios carteles informativos ubicados en varios lugares de la empresa: puerta principal, entrada del laboratorio, vestíbulo de la planta baja y salida de emergencia, aportándose fotografías de los mismos.

La AEPD, tras el estudio pormenorizado de la reclamación, ha constatado que dicho cartel existe pero que el sistema de videovigilancia de GALENICUM HEALTH cuenta con cámaras que captan la vía pública en exceso, enfocando la acera y parte de la calzada por donde pasan los vehículos y donde algunos estacionan. Por parte de GALENICUM HEALTH se indican que no captan la vía pública, si no que las imágenes grabadas por ellas pertenecen a zonas privadas, las cuales están separadas de la vía pública por barreras arquitectónicas como vegetación, barreras de parking, etc. Aporta asimismo imágenes en las que puede apreciarse que existen barreras arquitectónicas y que se han implantado filtros en negro, para que NO pueda visualizarse la vía pública. No obstante, la AEPD considera que de las fotografías aportadas se desprende que las cámaras EXT-C9, EXT-C16 y EXT-C17, están captando vía pública, lo cual ha de corregirse mediante máscara o sombreando la zona excesiva

La reclamante expone que el 30 de abril de 2024 solicitó el acceso a sus datos personales ante TELEFÓNICA MÓVILES ESPAÑA, S.A., incluyendo copia de grabaciones de las llamadas, copia de facturas y reclamaciones presentadas, así como respuestas recibidas a éstas. Relata que el 06 de junio de 2024 recibió respuesta en la que le informan que puede obtener las facturas a través de la aplicación informática de la TELEFÓNICA, que las resoluciones de las reclamaciones ya le fueron comunicadas por correo electrónico y que no pueden facilitarle las grabaciones de las llamadas "en cumplimiento de la Ley de Protección de Datos y por evidentes motivos de seguridad". La reclamante manifiesta su disconformidad con dicha denegación, alegando, entre otras cosas, que la aplicación de la reclamada no permite acceder a las facturas más antiguas. Iniciado el procedimiento ante la AEPD, TELEFÓNICA señala que ha remitido un correo electrónico al Reclamante en el que se ha dado cumplimiento a su derecho de acceso conforme a su solicitud, enviándole los datos que tenemos sobre él, reclamaciones y contestaciones, así como la copia de las grabaciones que constan en nuestros sistemas y de las facturas de los servicios que tiene contratados, todo ello de los servicios objeto de la reclamación.

En este sentido, la AEPD recoge que, conforme lo establecido en la normativa de protección de datos, la voz también se considera dato de carácter personal. Por ello, la reclamante tendría derecho a que se le facilitasen las grabaciones de voz al amparo de la normativa de protección de datos. El responsable debe poder demostrar que los derechos o libertades de terceros se verían perjudicados en la situación concreta. La aplicación del artículo 15, apartado 4, no debe dar lugar a la denegación total de la solicitud del interesado; solo resultaría en excluir o hacer ilegibles aquellas partes que puedan tener efectos negativos para los derechos y libertades de los demás. En consecuencia, el derecho de acceso a la grabación de su voz solicitada por la reclamante sí está amparado por la normativa vigente en materia de protección de datos.

El reclamante denuncia ante la AEPD que el 27 de junio de 2023, se produjo el corte de su línea telefónica. Al día siguiente, acudió a la tienda de telefonía ***EMPRESA.1, distribuidora del producto del operador AIRE NETWORKS, donde se le facilitó un duplicado de su tarjeta SIM. Con dicho duplicado, pudo consultar su banca online, detectando varias transacciones no autorizadas, por lo que interpuso denuncia ante la policía y presentó reclamación ante ***BANCO.1. Posteriormente, observó correos electrónicos relacionados con el cambio de dispositivo asociado a su banca online, así como la modificación de la clave de acceso digital; por lo que solicitó explicaciones a AIRE NETWORKS. Por su parte, la entidad informó que dicha reclamación se vincula a una brecha de seguridad notificada a la AEPD el 27 de junio de 2023, comunicación que fue posteriormente ampliada. En dicha brecha se vieron comprometidas las credenciales de acceso de cuatro agentes comercializadores —entre ellos, la de la citada empresa— y de un empleado de la propia AIRE NETWORKS. Dicha vulneración permitió accesos no autorizados a su extranet corporativa, plataforma habilitada para que los agentes gestionen aspectos administrativos como contrataciones, facturación, duplicados de tarjetas, entre otros. Según el escrito de AIRE NETWORKS, la brecha fue consecuencia de la filtración de credenciales, lo que permitió a atacantes externos acceder de forma indebida a su extranet corporativa y generar duplicados de tarjetas SIM, una de las cuales fue usada para acceder a la cuenta bancaria del reclamante. La intrusión habría sido posible mediante técnicas ilícitas, como la interceptación de transmisiones de datos y el uso fraudulento de cuentas de correo asociadas al sistema.

En este contexto, por parte de la AEPD se identifican diversas carencias en las medidas de seguridad implementadas que permitieron la brecha de seguridad: en primer lugar, sólo tras los accesos ilícitos desde IPs localizadas en otro país, se adoptó la restricción de acceso a la extranet desde IPs no ubicadas en España,  medida básica que no se encontraba previamente implementada, pese a que la actividad de los agentes se desarrollaba exclusivamente en territorio nacional. Por otro lado, aunque se bloquearon IPs tras los primeros incidentes, los accesos no autorizados continuaron desde la misma IP con otras credenciales, lo que pone en cuestión la efectividad inmediata de las medidas adoptadas. En lo que respecta al caso concreto de ***EMPRESA.1, se realizaron dos duplicados de eSIM utilizando una dirección de correo ajena al reclamante (***EMAIL.3), sin verificación de la correspondencia con el cliente legítimo, a pesar de tratarse de una operación sensible. También se observa que uno de los accesos se realizó con las credenciales de un empleado en situación de baja laboral, sin que se hubiera desactivado su cuenta, lo que evidencia una deficiente gestión de usuarios y derechos de acceso. también consta que AIRE NETWORKS, a partir del 30 de junio y 6 de julio, habilitó el doble factor de autenticación para empleados y agentes; sin aclarar si la medida estaba ya activa al momento del incidente y fue ineficaz, o si se implantó posteriormente como solución reactiva, lo que en ambos casos pone de manifiesto una deficiencia en las medidas de seguridad adoptadas.

Como consecuencia de todo lo anterior, la AEPD considera que las políticas de AIRE NETWORKS presentaban deficiencias significativas en la implementación de medidas de seguridad adecuadas. La filtración de credenciales y la ausencia de controles efectivos permitieron el acceso indebido a los datos personales de al menos 40 personas, incluyendo a los titulares de las dos líneas móviles cuya duplicación facilitó accesos no autorizados a sistemas de banca online y perjuicios económicos. Todo ello constituye una pérdida de confidencialidad que compromete el cumplimiento del artículo 5.1.f) del RGPD, al haber expuesto datos personales a terceros no autorizados con consecuencias perjudiciales para los afectados.

El reclamante manifiesta que es trabajador de LASERTEK y que en sus instalaciones ha instalado cámaras de videovigilancia que pudieran captar sonido, sin que se haya informado de ello a los trabajadores. Señala asimismo que hay cámaras que se orientan a zonas de descanso de los trabajadores y a la vía pública, aportando imágenes de ubicación de las cámaras.  Por su parte, LASERTEK indicó que dispone de un sistema de videovigilancia contratado con una empresa de seguridad y que cuenta también con cámaras fuera de funcionamiento que previamente pertenecieron a otra empresa de seguridad, estando fuera de servicio, adjuntando diversa documentación. Tras analizar la documentación, la AEPD considera excesiva la captación del espacio público de dos de las cámaras:

- NAVE 11: en la imagen aportada por la empresa se indica que es la entrada al almacén, y se observa dicha entrada, así como también espacio público correspondiente a una porción amplia del perímetro exterior de la nave con una anchura de varios metros.

- CAM2: en la imagen aportada por la empresa, así como por las alegaciones presentadas por la empresa al acuerdo de inicio del procedimiento sancionador, se observa no sólo la entrada principal de la empresa, incluyendo a alegada zona de contendores de almacenamiento de chatarra ubicada junto a dicha entrada, sino también espacio público.

LASERTEK alega que cumple el principio de proporcionalidad respecto de la imagen captada por una de sus cámaras, en concreto, la CAM 2, pues el enfoque hacia el exterior es mínimo, incidental y estrictamente necesario para garantizar la seguridad del lugar y que en ningún caso se pretende invadir la privacidad de la vía pública ni captar imágenes identificables de personas ajenas, sino la zona de los contenedores de almacenamiento de chatarra, ubicados junto a la entrada principal de la sede de la empresa, aportando imagen con el enfoque de dicha cámara.

De la documentación aportada al expediente por LASERTEK, la AEPD aprecia que la citada cámara capta la entrada principal de la sede social de LASERTEK, reconociendo el enfoque de dicha cámara hacia el exterior. Indica que la orientación tiene como objetivo la protección de los bienes de la empresa, en concreto, los contenedores de almacenamiento de chatarra ubicada junto a dicha entrada, lo que no obsta a que se siga observando que dicha cámara también capta la vía pública, lo que reconoce la propia LASERTEK. A este respecto, se recuerda que las cámaras instaladas no pueden obtener imágenes de espacio público sin causa justificada debidamente acreditada. Es decir, las cámaras instaladas con fines de seguridad no podrán obtener imágenes de la vía pública salvo que resulte imprescindible para dicho fin, o resulte imposible evitarlo por razón de la ubicación de aquéllas.

LASERTEK reconoce el campo de visión de esta cámara controvertida y que capta vía pública, si bien alega que cumple el principio de proporcionalidad, ya que la medida está justificada, es necesaria para prevenir delitos y su impacto sobre la privacidad de terceros es insignificante o inexistente. No obstante, teniendo en cuenta el campo de visión de dicha cámara, la Agencia sigue considerando que se realiza por ésta una captación excesiva de parte de la vía pública, que va más allá de la zona indicada por LASERTEK en sus alegaciones -zona de almacenamiento de chatarra-, pudiendo realizarse una reorientación de dicha cámara y/o añadiendo una máscara de privacidad, que limitaría la captación de vía pública