Resoluciones Relevantes OCTUBRE 2025

El reclamante denuncia que su línea de teléfono fue añadida a un grupo de WhatsApp con más de 500 miembros a los que “no conoce de nada”. Afirma haber intentado contactar con el administrador del grupo para que lo elimine, no obteniendo respuesta. Manifiesta que no ha dado su consentimiento para que le incorporen en un grupo de estas características. Junto al escrito, se aporta una captura de pantalla en la que se aprecia que el administrador del grupo de WhatsApp le ha añadido a un grupo con 521 miembros.

Por parte de la entidad reclamada no se ha remitido respuesta ni alegaciones alguna a los requerimientos de la AEPD, por lo que el acuerdo de inicio es considerado propuesta de resolución.

Por parte de la AEPD, se procedió a efectuar las actuaciones de investigación pertinentes, observando que en el aviso legal del sitio web de TRADING INTERNATIONAL TOURIST, consta como responsable del tratamiento del “***GRUPO.1” una entidad tercera. No obstante, ha quedado acreditado que en el Registro Mercantil no figura registrada empresa alguna bajo el nombre “***GRUPO.1”. No obstante, si consta acreditado que en la política de privacidad de la página web corresponde a Trading internacional, de conformidad con la información del Registro Mercantil diligenciada. De igual forma, el domicilio social de Trading International coincide con el domicilio que figura para ***GRUPO.1.

En el presente caso, consta acreditado que el reclamante fue incluido en un grupo de WhatsApp de más de 500 personas, habiendo intentado contactar sin éxito con el administrador para requerir la supresión de su número de teléfono de ese grupo. Como consecuencia, se han expuesto sus datos personales sin que concurra una causa legitimadora que lo ampare, pues no consta que los participantes incorporados a dicho grupo por TRADING INTERNATIONAL TOURIST hayan prestado su consentimiento para la incorporación de su número de teléfono al grupo, ni que el tratamiento pueda justificarse en la ejecución de un contrato, el cumplimiento de una obligación legal o la existencia de un interés legítimo prevalente. En ausencia de una base de licitud válida, el tratamiento de datos personales llevado a cabo en este contexto resulta contrario a lo dispuesto en el artículo 6.1 del RGPD, determinando su ilicitud.

El reclamante denunció haber recibido una llamada comercial en su línea móvil, en la que un agente que se identificó como representante de la empresa BLEISOR le ofreció mejorar su contrato de suministro eléctrico. Durante la llamada, el interlocutor le facilitó diversos datos personales —nombre, DNI, dirección, correo electrónico, número de cuenta bancaria y código CUPS—, lo que hizo sospechar al reclamante que se trataba de un uso indebido de su información. Además, recibió un SMS procedente de la entidad FROM ZERO con un enlace a la web servenergia.com, que redirigía a un documento de autorización para el tratamiento de sus datos personales por parte de BLEISOR SOLUTION S.A.S., empresa con domicilio en Colombia y sin representante ni delegado de protección de datos en la Unión Europea.

Las actuaciones de la AEPD evidenciaron la existencia de una relación comercial entre BLEISOR, AECORP 005 S.L. y FROM ZERO BUSINESS S.L. destinada a la captación de clientes mediante llamadas telefónicas para la contratación de servicios energéticos. FROM ZERO declaró actuar en virtud de un contrato firmado con AECORP, mediante el cual realizaba actividades de promoción y prospección comercial. Sin embargo, no acreditó que la línea del reclamante hubiera sido verificada frente a la Lista Robinson ni que existiera consentimiento previo para la llamada.

El análisis del contrato entre AECORP y FROM ZERO mostró que la primera actuaba como responsable del tratamiento de los datos personales y que determinaba los fines y medios de las actividades comerciales, mientras que FROM ZERO actuaba como agente externo para la ejecución material de las llamadas. No obstante, AECORP no adoptó las medidas necesarias para garantizar que dichas actuaciones se realizaran conforme a la normativa de protección de datos, ni supervisó la legitimidad del contacto con potenciales clientes.

De la documentación aportada se desprende que la llamada se efectuó sin base jurídica válida y sin haberse proporcionado al afectado la información exigida por el artículo 14 del RGPD, relativa a la identidad del responsable, las finalidades del tratamiento, la procedencia de los datos y los derechos que le asistían. Tampoco se le informó de su derecho a oponerse a recibir nuevas comunicaciones comerciales, incumpliendo lo dispuesto en el artículo 66.1.b) de la Ley General de Telecomunicaciones.

La AEPD considera que AECORP, como responsable del tratamiento, debía asegurar que sus encargados y colaboradores respetasen los principios de licitud, transparencia y responsabilidad proactiva del RGPD, incluso cuando la actividad se ejecuta a través de terceros. Conforme a la jurisprudencia de la Audiencia Nacional, quien define los fines y medios de una campaña comercial asume la responsabilidad plena sobre su licitud, sin que pueda eludirla por haber delegado la ejecución en otra entidad.

En consecuencia, la llamada comercial recibida por el reclamante se efectuó sin su consentimiento ni otra base legitimadora, y sin cumplir las obligaciones de información y transparencia establecidas por la normativa de protección de datos y telecomunicaciones. Los hechos constituyen infracción del artículo 66.1.b) de la LGTEL y del artículo 14 del RGPD, imputable a AECORP 005 S.L. por haber permitido el uso de datos personales del reclamante en una comunicación comercial no autorizada y carente de la información mínima exigida para garantizar el ejercicio de sus derechos.

La reclamante manifiesta que SERVACE, contratada por el organismo público de Fomento, utiliza su correo electrónico personal para fines de trabajo, sin su consentimiento. Después de un previo aviso de no seguir utilizando dicho correo privado, la empresa SERVACE ha seguido haciendo caso omiso, y sigue usando dicho correo personal, para fines de trabajo, poniendo en copia visible tanto a compañeros de trabajo como a personal de Fomento. La reclamante informa que dispone de un correo electrónico de empresa. Junto al escrito de reclamación, se aporta la siguiente documentación: Captura de pantalla de dos correos electrónicos, de 14/05/2024, remitido por SERVACE a la parte reclamante sobre información SERVACE-Centros de Fomento, como se indica en la línea del asunto y en el cuerpo del correo. El correo es enviado con copia visible a compañeros de trabajo. Capturas de pantalla conteniendo el despliegue de algunos de dichos correos, de 27/05/2024, en la que se visualizan el asunto (...) con copia visible a compañeros de trabajo como a personal de fomento. Captura de pantalla de un correo electrónico del reclamante a SERVACE, 27/05/2024, donde se indica <<(…)>>. La dirección de correo electrónico de la parte reclamante que figura en esta documentación es “***EMAIL.1”. Notificado el inicio de actuaciones a SERVACE, no consta la presentación de alegaciones.

- Respecto a la licitud del tratamiento, la reclamante ha manifestado que su correo electrónico personal había sido incluido por SERVACE en el correo corporativo de la empresa al objeto de recibir comunicaciones internas de trabajo, a pesar de disponer de un correo profesional de SERVACE y de que el reclamante advirtiera de dicha circunstancia. Dicho tratamiento fue realizado sin recabar el consentimiento del reclamante y sin que haya quedado acreditada ninguna otra base de legitimación de las previstas en el art. 6 RGPD. Y cabe recordar que corresponde al responsable del tratamiento acreditar que el mismo cuenta con una base de legitimación.

- En relación a la confidencialidad, en el presente caso, existen indicios evidentes de que se ha vulnerado el principio de confidencialidad, al haberse producido una comunicación no autorizada de datos personales del reclamante, concretamente, de la dirección de (correo electrónico personal), utilizada por SERVACE para el envío de comunicaciones con asuntos laborales dirigidas a varios destinatarios, con las direcciones visibles para todos ellos.

La AEPD tuvo conocimiento, a través de comunicaciones de la Direcció General d’Ordenació i Regulació Sanitària de Cataluña, de posibles vulneraciones de protección de datos cometidas por oficinas de farmacia en el tratamiento de información de residentes en centros geriátricos, incluyendo accesos y cesiones ilícitas de datos de salud y el uso de medios electrónicos no seguros. La investigación acreditó que la farmacia trataba datos personales con ocasión de la dispensación de medicamentos y productos sanitarios, incluyendo medicación, código de identificación autonómico y número de tarjeta sanitaria. En el presente caso, se detectaron diversas infracciones.

- Los datos referidos a la dispensación de medicamentos, CIPA, tarjeta sanitaria o los utilizados para la preparación de sistemas personalizados de dosificación (SPD) son datos de salud, cuya excepción de tratamiento requiere que concurra alguna de las premisas del artículo 9.2 del RGPD, interpretadas de manera restrictiva. La dispensación de medicamentos permite el levantamiento de la prohibición del tratamiento de datos de salud conforme al artículo 9.2 h) si se realiza por un profesional sujeto a obligación profesional, dentro de un marco normativo estatal o autonómico. No obstante, el artículo 9.2 h) exige que se cumplan las condiciones reglamentarias previas. En este supuesto, la prestación del servicio de seguimiento farmacoterapéutico con SPD por parte de una oficina de farmacia en Cataluña exige que, con carácter previo, la farmacia se haya adherido a un convenio suscrito entre la Administración competente y el Colegio Farmacéuticos de Cataluña, sin que pueda subcontratarse a otra farmacia ni heredarse con el cambio de titularidad. La oficina de farmacia en cuestión cambió de titularidad, que continuó preparando SPD sin tramitar la adhesión obligatoria, afectando a aproximadamente 1.350 residentes, sin acreditar estar habilitada para ello ni contar con la excepción del artículo 9.2 h) del RGPD o cualquier otra base del artículo 9.2 para el tratamiento de datos de salud necesarios para SPD.

- Respecto al artículo 6 del RGPD, la preparación de SPD constituye una actividad separada de la dispensación de medicamentos y exige, como base de legitimación, el consentimiento informado, libre, inequívoco y específico del paciente, conforme a los artículos 13 y 14 del RGPD. Tras el cambio de titularidad, no podía aplicarse subrogación de los consentimientos otorgados al anterior responsable. La farmacia aportó consentimientos firmados por pacientes a partir de fechas posteriores a la inspección, por lo que no se acredita que contara con consentimiento válido para el tratamiento de 1.350 residentes durante el período correspondiente.

- En relación con el artículo 14 del RGPD, los datos personales eran proporcionados por las residencias y no recogidos directamente de los interesados. La farmacia señalaba contar con un cartel informativo y un documento de “Nota informativa RGPD” para cumplir el deber de información, sin que conste su remisión a los residentes. El contenido del documento no incluía categorías de datos, finalidades, destinatarios, plazos de conservación ni posibilidad de retirar el consentimiento, por lo que no cumplía con los requisitos de información previstos por el artículo 14 del RGPD.

- En cuanto al artículo 28.3 del RGPD, la farmacia aportó un modelo de contrato con la empresa ***EMPRESA.1 para encargo de tratamiento, carente de fecha, firmas y datos identificativos del representante de la empresa, lo que cuestiona su validez jurídica. Además, el documento no especificaba finalidad, naturaleza, categorías de datos ni medidas de seguridad concretas, ni incluía previsiones sobre subencargados o asistencia al responsable para cumplir sus obligaciones, limitándose a reproducir el RGPD de forma genérica. Por tanto, el contrato no cumple los requisitos del artículo 28.3 del RGPD ni las Directrices 07/2020 del CEPD.

La recurrente denunciaba la inclusión de sus datos personales en acuerdos de liquidación del IVA e IRPF relativos a las obligaciones tributarias de otra contribuyente, alegando vulneración de su derecho a la protección de datos y divulgación indebida de información reservada. El recurso se fundaba en la supuesta infracción del artículo 8 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), del artículo 6.1.c) y e) del Reglamento (UE) 2016/679 (RGPD) y del artículo 95 de la Ley General Tributaria (LGT). La recurrente sostenía que la AEAT carecía de base legitimadora para ceder a un tercero —la persona inspeccionada— datos personales de quien no era parte en el procedimiento, e insistía en que la Audiencia Nacional no analizó la eventual cesión de datos, sino únicamente la licitud del tratamiento.

El Tribunal Supremo centra el debate en determinar si la actuación de la AEAT, al incluir datos de terceras personas en actuaciones tributarias, constituye una cesión ilícita o un tratamiento legítimo de datos personales. Siguiendo su doctrina y la sentencia 1520/2023, el Alto Tribunal califica los hechos como tratamiento de datos personales, no como cesión, al no concurrir el elemento de revelación propio de esta última figura. Señala que la utilización de datos de terceros por la Administración Tributaria, cuando resulta necesaria para acreditar hechos con trascendencia fiscal o para motivar las resoluciones dictadas, constituye un tratamiento amparado en los artículos 6.1.c) y e) del RGPD y 8 de la LOPDGDD, pues responde al cumplimiento de una obligación legal y al ejercicio de poderes públicos conferidos para la gestión, inspección y recaudación de tributos.

La Sala destaca que el deber de la AEAT de velar por el cumplimiento de las obligaciones tributarias y la lucha contra el fraude fiscal persiguen un objetivo de interés general, reconocido en los artículos 31 y 103 de la Constitución y en el artículo 8 de la Carta de los Derechos Fundamentales de la UE. De acuerdo con la jurisprudencia del Tribunal de Justicia de la Unión Europea, el tratamiento de datos personales por autoridades tributarias sin consentimiento del afectado es legítimo siempre que sea necesario, proporcionado y limitado a los fines de interés público que justifican su uso.

El Tribunal considera que la inclusión de los datos personales de la recurrente —identificativos y de relación con la persona inspeccionada— fue adecuada y proporcionada, al resultar imprescindible para fundamentar los acuerdos de liquidación y garantizar el derecho de defensa de la obligada tributaria. La AEAT no vulneró el deber de confidencialidad del artículo 95 de la LGT, ni incurrió en exceso en el tratamiento, al limitarse a consignar la información estrictamente necesaria para la correcta motivación de sus resoluciones.

En consecuencia, el Tribunal Supremo declara que el tratamiento de datos personales de terceras personas físicas por la AEAT en procedimientos tributarios es conforme a la normativa de protección de datos siempre que se base en el cumplimiento de una obligación legal, responda a un fin de interés público y se limite a datos pertinentes, adecuados y no excesivos para la finalidad perseguida.

La AEPD tramitó una reclamación contra TELEROSA SPAIN, S.L. tras la recepción por parte de un usuario de un mensaje publicitario en su teléfono móvil con contenido promocional sobre la campaña de San Valentín, sin haber autorizado expresamente dichos envíos ni mantener relación contractual previa. El mensaje incluía únicamente información comercial y enlaces a descuentos, sin ofrecer opción de oposición al tratamiento de datos con fines promocionales. TELEROSA alegó que sí existía una relación contractual anterior derivada de una compra realizada en su página web, aportando una factura a nombre del reclamante. Sostuvo que, durante el proceso de compra, el cliente aceptó las condiciones generales, donde se informaba sobre la posibilidad de recibir comunicaciones comerciales y ejercer derechos de acceso, rectificación, cancelación y oposición. La empresa invocó el artículo 21.2 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) que permite el envío de comunicaciones electrónicas sin consentimiento expreso cuando existe relación contractual previa y se emplean los datos para promocionar productos o servicios similares a los adquiridos.

No obstante, en la documentación aportada por TELEROSA —factura, aviso legal y política de privacidad de la web— no consta ninguna referencia a la posibilidad de oponerse a la recepción de mensajes publicitarios ni a un procedimiento para ejercer tal derecho. La política de privacidad recogía como finalidad del tratamiento “gestionar la solicitud y mantener informado al usuario, incluso por vía electrónica, de noticias y novedades relacionadas con la empresa”, pero sin incluir un mecanismo de oposición. TELEROSA reconoció el envío del mensaje promocional y explicó que la ausencia del texto legal informativo sobre el derecho de oposición se debió a un “error puntual” en el sistema, asegurando haber adoptado medidas técnicas para evitar su repetición. Sin embargo, la investigación determinó que ni en el momento de la recogida de los datos personales ni en la comunicación enviada se ofreció al interesado un medio sencillo y gratuito para oponerse al tratamiento con fines comerciales.

En este caso, ni la web de TELEROSA ni el SMS enviado cumplían dicha obligación, al no contener referencia alguna al mecanismo de baja ni información específica sobre el derecho de oposición, lo que supone un incumplimiento del artículo 21.2 de la LSSI, debiendo el responsable ofrecer al destinatario la posibilidad de oponerse tanto en el momento de la recogida de los datos como en cada comunicación que se le remita.

Con motivo de una reclamación presentada ante la autoridad de protección de datos de Baviera, la AEPD inició un procedimiento contra MOBILITY EVOLUTION, responsable del tratamiento de datos de la aplicación ***APP.1, utilizada para el alquiler de bicicletas eléctricas en Mallorca. El reclamante alegó que, tras utilizar la aplicación, activó la función de eliminación de cuenta, que indicó que recibiría confirmación una vez completado el proceso. No obstante, la cuenta no se eliminó ni se recibió respuesta, por lo que remitió un correo electrónico a la dirección de contacto designada solicitando la supresión de sus datos conforme al artículo 17 RGPD, sin que obtuviera tampoco respuesta alguna.

Tras requerimiento de información, MOBILITY indicó que no constaba haber recibido el correo electrónico del reclamante y que tuvo conocimiento de la solicitud al recibir la comunicación de la AEPD. En ese momento, ejecutó la baja del usuario y la supresión de sus datos personales. MOBILITY reconoció la existencia de un error en la programación de la función de desistimiento y eliminación de cuentas dentro de la aplicación, que impedía completar el proceso de baja pese a que el usuario lo había iniciado correctamente. MOBILITY explicó que había realizado una investigación interna y adoptado medidas correctoras, entre ellas la subsanación del error de programación, la revisión del proceso de baja para asegurar que la desactivación del servicio y la eliminación de datos se ejecuten simultáneamente, la activación de notificaciones automáticas de confirmación al usuario, y la implantación de un control diario de bajas bajo responsabilidad de la gerencia. Asimismo, presentó su procedimiento interno de atención de derechos, aunque en él no se contemplaba expresamente la posibilidad de ejercer el derecho de supresión desde la propia aplicación.

Con motivo de las actuaciones de investigación, se comprobó que la política de privacidad publicada en la web de MOBILITY indicaba como canal para ejercer derechos una dirección de correo electrónico, sin ofrecer un medio alternativo en la aplicación para garantizar la supresión directa por el usuario. En la práctica, la función de eliminación de cuenta mostraba mensajes de error como “Deletion request in process” o “The deletion request is awaiting approval”, sin que el proceso se completara ni existiera un sistema de verificación que alertara de la incidencia.

Por ello, se consideró que la aplicación no incorporaba medidas adecuadas de protección de datos desde el diseño que garantizaran el ejercicio efectivo del derecho de supresión. Conforme al artículo 25 del RGPD y las Directrices 4/2019 del Comité Europeo de Protección de Datos, los responsables deben integrar en la planificación del tratamiento las medidas técnicas y organizativas necesarias para asegurar el cumplimiento de los principios de licitud, transparencia y respeto de los derechos de los interesados. La falta de mecanismos operativos que permitieran ejecutar la baja y eliminar los datos personales reveló la inexistencia de medidas preventivas adecuadas ni de un análisis previo de riesgos en el diseño del sistema. La falta de previsión y aplicación desde el diseño de los controles necesarios para garantizar la supresión efectiva de los datos personales a través de la aplicación es considerado por la AEPD como una infracción de las obligaciones impuestas por el RGPD en materia de protección de datos desde el diseño.

El reclamante denunció la recepción de correos electrónicos remitidos por los delegados de personal de la empresa, presuntamente representantes del ***SINDICATO.1, a varios destinatarios sin utilizar la función de copia oculta (CCO), exponiendo así todas las direcciones de correo electrónico. En total se habrían revelado treinta y dos direcciones, la mayoría pertenecientes a cuentas personales de Gmail. Aportó capturas de pantalla de dos mensajes, ambos fechados el mismo día, con los asuntos “Convocatoria de Asamblea” y “Localización: Convocatoria de Asamblea”. En los correos se incluían detalles sobre las fechas y lugar de celebración de la asamblea, figurando en la firma los nombres de tres delegados de personal: B.B.B., A.A.A. y C.C.C. En cada mensaje se observaban dieciséis direcciones visibles y, en total, treinta y dos destinatarios.

Recibido el traslado de la reclamación, ***SINDICATO.1 informó que la acción no correspondía a su estructura organizativa, aclarando que las secciones sindicales en las empresas dependen de las federaciones sectoriales, y que el tratamiento de datos recae en ***SINDICATO.2, responsable sectorial en la entidad. Por su parte, ***SINDICATO.2 reconoció que los delegados de personal implicados pertenecen a su organización, aunque precisó que el envío se realizó desde una cuenta privada de Gmail ajena al sindicato y sin autorización para usar recursos no corporativos. Añadió que los delegados actuaron en su condición de representantes de los trabajadores de la empresa, no en nombre del sindicato, y que la convocatoria de asamblea no derivaba de ninguna instrucción sindical.

El sindicato destacó que dispone de protocolos internos sobre protección de datos y uso de medios digitales, que incluyen la obligación de emplear la función CCO en envíos masivos y la prohibición de utilizar dispositivos o cuentas personales para fines profesionales o sindicales sin autorización. Aportó, entre otros documentos, un “Manual de funciones y obligaciones para personas trabajadoras” en el que se advierte expresamente que el uso indebido del correo electrónico sin CCO puede constituir infracción sancionable por la AEPD. También remitió su “Guía de ayuda para el cumplimiento normativo para organismos de representación en la empresa”, que establece la misma obligación y prohíbe el uso de cuentas no habilitadas oficialmente.

En sus alegaciones posteriores, A.A.A., una de las delegadas cuyos nombres aparecían en la firma de los correos, reconoció que el mensaje fue enviado desde dicha cuenta a treinta y dos destinatarios sin CCO, pero negó haber intervenido en el envío, alegando que en la fecha indicada se encontraba en situación de incapacidad temporal. Esta circunstancia quedó acreditada mediante el parte médico aportado, donde constaba dicha baja. No existiendo elementos que vinculen directamente a A.A.A. con el envío de los correos, se estimó su alegación y se descartó su responsabilidad en los hechos. En atención a la documentación obrante en el expediente y a las alegaciones formuladas, no se hallaron indicios que permitan atribuir a A.A.A. la autoría del envío de los mensajes ni constan elementos suficientes para determinar la responsabilidad directa de la organización sindical en la infracción denunciada. En consecuencia, se acordó el archivo de las actuaciones.

El reclamante denunció haber recibido correos electrónicos remitidos por los delegados de personal de la empresa, actuando en representación de ***SINDICATO.1, dirigidos a numerosos destinatarios sin utilizar la función de copia oculta (CCO), lo que permitió que todos los receptores visualizaran las direcciones de los demás. El reclamante aportó capturas de pantalla de dos mensajes enviados, con los asuntos “Convocatoria de Asamblea” y “Localización: Convocatoria de Asamblea”, en los que figuraban treinta y dos direcciones, la mayoría correspondientes a correos personales.

***SINDICATO.1 indicó que la reclamación debía dirigirse a ***SINDICATO.2, organización responsable de los tratamientos de datos en el sector correspondiente. Ésta manifestó que el envío de los correos se realizó desde un dominio ajeno al sindicato, no autorizado ni controlado por él, y que los delegados actuaron sin instrucción directa de la organización. Alegó que dispone de protocolos internos en materia de protección de datos, en los que se establece expresamente la obligación de utilizar la función CCO en los correos dirigidos a varios destinatarios y la prohibición de usar cuentas personales o no corporativas en la actividad sindical. Aportó además un manual interno en el que se advierte que el uso inadecuado del correo electrónico sin copia oculta constituye una de las infracciones más sancionadas por la AEPD, así como la prohibición de utilizar recursos personales con fines profesionales sin autorización previa.

Uno de los delegados, A.A.A., reconoció haber enviado los mensajes sin utilizar la función CCO, alegando que se trató de un error humano sin intención de vulnerar derechos. Explicó que las direcciones fueron facilitadas voluntariamente por las personas trabajadoras, entre ellas el reclamante, y que el correo se creó con la aprobación de las primeras delegadas de personal mediante acta constitutiva. Indicó asimismo que el incidente fue puntual, que cesó en su cargo en septiembre de 2023 y que durante el tiempo en que se produjo el envío se hallaba de baja médica.

La investigación acreditó que A.A.A. era delegado de personal en la fecha del envío (7 de julio de 2023), y que el mensaje incluía las direcciones personales de los treinta y dos destinatarios sin la debida protección de confidencialidad. El parte médico aportado solo acredita la baja laboral a partir del 14 de julio, por lo que el envío se realizó cuando aún ejercía sus funciones, por lo que la AEPD desestimó las alegaciones del reclamado. Consideró irrelevante que no existiera ánimo doloso o beneficio personal, ya que la infracción se consumó con la mera revelación de los datos personales. Recordó que el consentimiento previo de los trabajadores para facilitar sus direcciones no ampara su difusión a terceros sin autorización, y que la utilización de un correo acordado colectivamente no exime de responsabilidad al usuario que efectúa el envío. Asimismo, subrayó que el carácter puntual o no intencionado del hecho no elimina la infracción, dado que la revelación de las direcciones electrónicas supuso una pérdida de confidencialidad y control sobre los datos personales de los destinatarios, exponiéndolos a posibles usos indebidos o riesgos de seguridad, como el acceso a información sensible o el envío de comunicaciones no deseadas.

La Agencia concluyó que A.A.A., como delegado de personal y remitente del correo, actuó como responsable del tratamiento al determinar los medios y fines del envío, y que su actuación vulneró el principio de confidencialidad previsto en el artículo 5.1.f) del RGPD, al exponer las direcciones personales de los trabajadores sin utilizar la función de copia oculta.

La reclamante, madre del menor inscrito en el Club Deportivo Dinamo, denunció ante la AEPD la publicación de fotografías y vídeos de su hijo en redes sociales del club sin haber otorgado consentimiento. Explicó que, tras ser bloqueada por el perfil oficial en Instagram, solicitó la retirada de las imágenes, pero el club no atendió eficazmente su petición, lo que la llevó a solicitar la eliminación directamente a las plataformas. Posteriormente, DINAMO publicó una nueva imagen con el rostro del menor pixelado, pero la reclamante volvió a pedir su retirada y puso los hechos en conocimiento de la Diputación de Bizkaia. Indicó que en el año en curso no había firmado ninguna autorización para el uso de imágenes de sus hijos, ni recordaba haberlo hecho con anterioridad. Solicitó por escrito al club copia de la supuesta autorización en dos ocasiones, sin obtener respuesta. También dirigió peticiones a Google, la Agencia Vasca de Protección de Datos y al responsable de protección al menor del Gobierno Vasco para conseguir la retirada del material gráfico.

Aportó enlaces y capturas de las publicaciones del club, incluyendo fotografías grupales y un vídeo subido a Instagram en el que aparecía su hijo sin pixelar, pese a haber comunicado previamente al coordinador que el menor ya no formaba parte del club. La reclamante acreditó que, tras múltiples gestiones, consiguió que todas las plataformas eliminaran las imágenes, salvo un vídeo publicado por un seguidor.Afirma que como el club no permite que nadie etiquete sus publicaciones, ha tenido que ser DINAMO quien ha autorizado la publicación de ese vídeo en su perfil.

Asimismo, presentó documentación de la Diputación de Bizkaia que confirmaría que no había prestado consentimiento alguno para el uso de imágenes de sus hijos en redes sociales. Señaló que nunca firmó autorización escrita y que, pese a haberlo solicitado reiteradamente al presidente del club, no se le facilitó copia de ningún documento que acreditara dicha autorización. El traslado de la reclamación se notificó en tiempo y forma al Club Deportivo Dinamo, sin que el club presentara alegaciones.

De la instrucción del expediente se desprende que Dinamo publicó imágenes y vídeos de menores sin base jurídica que lo legitimara, vulnerando el principio de licitud del tratamiento previsto en el artículo 6.1 del RGPD. La entidad no acreditó contar con el consentimiento de los progenitores ni con ninguna otra causa que justificara la difusión de los datos personales de los menores. La AEPD consideró que los hechos suponen un alto riesgo para los derechos y libertades de los afectados, al implicar la difusión pública de imágenes de menores sin autorización, lo que constituye una intromisión grave en su derecho fundamental a la protección de datos. Ante la ausencia de medidas efectivas por parte del club y la persistencia de publicaciones accesibles en redes sociales, se estimó necesario adoptar medidas provisionales para evitar un perjuicio mayor, ordenando la suspensión inmediata del tratamiento de datos personales objeto del procedimiento, instando al Club Deportivo Dinamo a cesar en la publicación de imágenes de los menores en sus redes sociales y a retirar las ya difundidas, en especial las publicadas en Facebook.

Por el reclamante se pone en conocimiento la realización de llamadas comerciales no solicitadas dirigidas por parte de NEGOCIOS R&R 2020 S.L, en las que se evidenciaba por dicha empresa el conocimiento de datos personales sensibles, incluidos número de cuenta bancaria y número de contrato. Durante la llamada se envió un SMS con enlace a la web www.servenergia.com, que mostraba un formulario con el número de teléfono y el CUPS de la reclamante ya rellenados, además de casillas premarcadas para aceptar la política de privacidad de la entidad y el envío de comunicaciones comerciales. La reclamante aportó capturas de pantalla de la llamada, del SMS y de la información de protección de datos de la empresa Bleisor. El operador telefónico confirmó la recepción de la llamada y del SMS, así como otras tres llamadas posteriores. La primera llamada se realizó desde la línea de titularidad de la entidad, cuyo socio español es NEGOCIOS R&R 2020 S.L. La empresa reconoció haber contratado una base de datos con otra entidad para gestiones telefónicas comerciales en sectores como energía o telefonía, y que el primer contacto con la reclamante se realizó en la fecha indicada. Las llamadas posteriores se realizaron desde líneas cuya titularidad correspondía a LEADDESK, S.L., revendedor de la base de datos. En el presente supuesto, NEGOCIOS R&R 2020 S.L., tiene la condición de responsable del tratamiento respecto a los datos personales empleados en el marco de una campaña telefónica destinada a ofertar servicios de cambio de comercializadora eléctrica. Esta entidad contrató con otra empresa, mediante factura de fecha 04/11/2023, la cesión de datos personales para su uso exclusivo en dicha campaña, conforme se indica en el documento aportado por la propia entidad.

La realización de llamadas no deseadas con fines comerciales sin consentimiento previo ni otra base legítima vulnera el artículo 66.1.b) de la LGTEL, que protege a los usuarios frente a comunicaciones intrusivas, exigiendo consentimiento previo o base legitimadora conforme al artículo 6.1 del RGPD. En este caso, NEGOCIOS R&R 2020 S.L. no acreditó ninguna de estas condiciones, constatándose la infracción. Asimismo, el artículo 14 del RGPD establece que cuando los datos personales no se recogen directamente del interesado, el responsable del tratamiento debe proporcionarle información esencial sobre la identidad del responsable, fines del tratamiento, base jurídica, categorías de datos, procedencia y derechos del interesado, en un plazo razonable y antes de la comunicación a terceros. En el presente caso, los datos de la reclamante se utilizaron para la llamada comercial sin que se le facilitara información sobre la procedencia de sus datos, la base jurídica para el tratamiento, la identidad del responsable, la finalidad del uso ni los derechos que podía ejercer. La falta de esta información constituye un incumplimiento del artículo 14, afectando sustancialmente a los derechos de la reclamante al impedirle ejercerlos con pleno conocimiento.

La Agencia Española de Protección de Datos recibió una reclamación dirigida contra THEURBANHOSTS GESTIÓN, S.L., por la supuesta instalación de un sistema de videovigilancia en un apartamento turístico, alegando que no existían carteles informativos ni aviso a los inquilinos sobre la presencia del dispositivo. La reclamación se acompañó de un reportaje fotográfico del dispositivo (Anexo I). Durante la fase de instrucción se solicitó la cooperación de las Fuerzas y Cuerpos de Seguridad del Estado para constatar la existencia del dispositivo y determinar si podía captar imágenes, resultando en un acta de inspección en la que se verificó la dirección efectiva de la empresa y la identidad del responsable de la gestión, A.A.A. Según sus manifestaciones, la causa de la reclamación se debía a la confusión del reclamante al interpretar un sensor de puerta como cámara de videovigilancia.

Tras examinar la reclamación y las pruebas aportadas, se constató que el presunto dispositivo era un sensor de presencia, utilizado habitualmente en habitaciones de alquiler o hotel para detectar ocupación y optimizar el consumo eléctrico, sin capacidad de captación de imágenes ni tratamiento de datos personales. Por ello, no se verificó la existencia de videovigilancia que pudiera vulnerar la normativa de protección de datos, procediéndose al archivo del expediente.

La Dirección General de Coordinación y Estudios (DGCE) del Ministerio del Interior notificó a la AEPD la sustracción de un ordenador portátil propiedad del Ministerio, asignado a un investigador vinculado a las áreas de Violencia de Género, Estudios y Formación (VGEF) y Sistema Estadístico y Atención a las Víctimas (SEAV/CNDES). El equipo, sustraído en un bar de Madrid, contenía datos personales utilizados para estudios de prevención y detección de delitos, incluidos atestados policiales, grabaciones de entrevistas y datos de salud. El dispositivo carecía de contraseña de arranque y cifrado, permitiendo el acceso a cualquier persona, y no existía registro formal de su asignación. El investigador colaboraba con la DGCE desde 20XX mediante acuerdos de confidencialidad, trabajando en contratos de investigación con la Fundación (FUNDACIÓN.1) sobre la herramienta SERDESVI para la predicción del riesgo de desaparición con desenlace fatal. Estos contratos implicaban acceso a datos policiales, psicosociales y criminológicos, centralizados en bases de datos securizadas gestionadas por la SGSICS, con acceso controlado desde equipos en la sede del CNDES. Durante la ejecución de los contratos, no constaba reglamentación adicional sobre el uso de portátiles ni sobre la conservación de los datos. Tras la finalización de los contratos, no se acreditó continuidad formal del investigador con la DGCE, ni acceso autorizado a los datos.

La DGCE abrió investigación sobre la brecha a través de la SGSICS, que coordinó el registro del incidente y las actuaciones para evaluar el alcance y origen de la sustracción, incluyendo entrevistas con responsables de las áreas implicadas. Se identificó que el equipo había sido parte de un lote destinado a formación en 2017 y asignado al investigador bajo supervisión del CNDES. Se constató que el acceso a los datos se realizaba normalmente mediante nube securizada y equipos de sobremesa, sin posibilidad de extracción no autorizada; sin embargo, el portátil sustraído no contaba con dichas protecciones. El tratamiento de datos afectado corresponde al registro “Personas Desaparecidas y Restos Humanos” (PDyRH), gestionado por la DGCE bajo la LO 7/2021, y a otros tratamientos de fines científicos sujetos al RGPD. La información incluía datos de identificación, biométricos, genéticos, judiciales y de salud, provenientes de diligencias policiales, entrevistas a víctimas y agresores, y bases de datos internas. El registro de operaciones no estaba plenamente implementado, lo que impidió la trazabilidad de los datos en el dispositivo sustraído.

Las medidas de seguridad existentes comprendían políticas internas, formación, control de accesos físico y lógico, auditorías, copias de seguridad y monitorización mediante soluciones antivirus y de telemetría. No obstante, el portátil carecía de cifrado, contraseña de arranque y registro de uso, siendo utilizado fuera de la sede sin autorización específica. La extracción de datos de VioGén se autorizó en 2021, pero no se dejó constancia de auditoría, y no se verificó si los datos extraídos se encontraban en el equipo sustraído. Tras la brecha se implementaron nuevas medidas de cifrado, anonimización y refuerzo de procedimientos de seguridad, así como actualización de normativa interna para alumnos, becarios y personal científico.

En las alegaciones, la DGCE sostuvo la aplicación exclusiva de la LO 7/2021 frente al RGPD y atribuyó el incidente a error humano, alegando medidas técnicas y organizativas conforme al ENS. Sin embargo, los hechos evidencian deficiencias estructurales: el equipo carecía de seguridad mínima, no se registró su titularidad, contenía datos extremadamente sensibles y fue utilizado fuera del entorno controlado. La ausencia de cifrado, trazabilidad y restricciones de acceso constituye vulneración del artículo 32 del RGPD. La materialización de daños no es necesaria para constatar la infracción, dado que la falta de medidas adecuadas genera un riesgo real y elevado para los derechos y libertades de las personas.

La reclamante recibió en su línea móvil una llamada en la que el interlocutor se identificó como representante de NATURGY y le indicó que debía cambiar la provincia de facturación de su suministro eléctrico, amenazando con el corte del servicio en caso contrario, mostrando conocimiento de sus datos personales. Durante la llamada, el reclamante recibió un primer SMS con un enlace a www.servenergia.com, incluyendo su número de teléfono, y posteriormente un segundo SMS informando de la tramitación de la baja del suministro. Tras verificar con su comercializadora que no había realizado la llamada, el reclamante presentó la reclamación acompañando capturas de pantalla de la llamada y los SMS. Se constató que la línea desde la que recibió la llamada pertenecía a AECORP 005, S.L., según confirmación de ORANGE ESPAGNE, S.A.U.  AECORP 005, S.L. alegó que la llamada se realizó en el marco de una campaña de marketing telefónico basada en un acuerdo con ***EMPRESA.3, la cual habría facilitado los datos del reclamante; sin embargo, no consta respuesta de esta entidad y su relación contractual con AECORP cesó en noviembre de 2023.

El reclamante sostiene que los hechos constituyen comunicaciones comerciales no solicitadas, en vulneración del artículo 66.1.b) de la LGTEL, que exige una base legitimadora válida, como el consentimiento previo del interesado o las previstas en el artículo 6.1 del RGPD. AECORP 005, S.L. aportó un registro de validación de agosto de 2023, donde el reclamante habría facilitado sus datos y aceptado la política de privacidad con autorización para recibir comunicaciones comerciales. De acuerdo con la Directriz 5/2020 sobre el consentimiento en el sentido del RGPD, el responsable del tratamiento debe demostrar que el consentimiento fue otorgado por el interesado, incluyendo quién, cuándo, cómo y con qué información se facilitó, y mantener un registro verificable mientras dure el tratamiento. La obligación de prueba del consentimiento subsiste durante la actividad de tratamiento de datos bajo las condiciones originales en que se recabaron. Sin embargo, Sin embargo, este registro por sí solo y como declaración unilateral, no acredita el suministro de los datos por el reclamante, ni su acceso a la información disponible en la web, ni mucho menos que consintiera las llamadas comerciales. Por tanto, se considera que las llamadas comerciales efectuadas no contaban con base de legitimación suficiente

Los hechos objeto de la reclamación se refieren a dos notificaciones enviadas por el Ayuntamiento de Vigo al reclamante mediante correo postal certificado, cuyos sobres incluían de manera visible las leyendas “DILIGENCIA DE EMBARGO” y “NOTIFICACIÓN PROVIDENCIA DE APREMIO”, junto con los números de expediente correspondientes. El reclamante señala que todas las comunicaciones anteriores relativas al mismo procedimiento administrativo se habían efectuado por vía telemática, desconociendo las razones del cambio de sistema de notificación, y considera que la información visible en los sobres vulnera su intimidad y la normativa de protección de datos, aportando fotografías de los sobres. En ellas se aprecia que, además de los datos de identificación y domicilio del reclamante, figuraban leyendas destacadas sobre el tipo de notificación, referencias al expediente y códigos de barras, junto a sellos de correos con acuse de recibo.

Por parte del Delegado de Protección de Datos del Ayuntamiento se informó que, tras la reclamación, se inició una revisión interna para asegurar el cumplimiento del principio de minimización de datos conforme al artículo 5.1.c) del RGPD y la normativa aplicable en materia de notificaciones administrativas. El informe del Departamento de Tesorería-Recaudación Ejecutiva señaló que las notificaciones se realizaron conforme a la normativa vigente, que los envíos postales con acuse de recibo garantizan la entrega al destinatario o a persona autorizada, y que los efectos jurídicos se producen desde la primera notificación, postal o electrónica, sin que esto implique duplicidad de procedimientos. Por parte del Ayuntamiento, se ha procedido a eliminar cualquier referencia al contenido de la notificación (como “Diligencia de Embargo” o “Providencia de Apremio”) y se ha sustituido por la expresión genérica “Notificación Administrativa”.

Se constata que las notificaciones enviadas por correo postal fueron recogidas por el propio reclamante en las fechas correspondientes, y que la notificación de Providencia de Apremio también constaba como notificada electrónicamente en la sede del Ayuntamiento. El Ayuntamiento reconoció que los sobres incluían leyendas relativas al tipo de notificación y referencias al expediente, informando así a quienes tuvieran acceso al sobre (como mínimo, al personal de correos) sobre la existencia de deuda pendiente, inicio del procedimiento de apremio y despacho de embargo de bienes. Posteriormente, se adoptaron medidas para sustituir las referencias específicas en los sobres por la expresión genérica “notificación administrativa”. Los hechos acreditan que los datos personales del reclamante se vieron afectados por una pérdida de confidencialidad debido a que, en el momento de los envíos, no se adoptaron medidas técnicas u organizativas adecuadas para limitar la información incluida en los sobres a lo estrictamente necesario, esto es, solo nombre, apellidos y domicilio del interesado. La incorporación de indicaciones sobre la deuda pendiente, el procedimiento de apremio y el embargo permite acreditar la falta de medidas dirigidas a no incluir en el sobre información concerniente al reclamante que resultaba innecesaria para la finalidad perseguida (pues lo son únicamente, los datos de identidad y el domicilio) y cuya incorporación ha generado la pérdida de confidencialidad de datos personales que conciernen al reclamante.

La Agencia Española de Protección de Datos tuvo conocimiento de una denuncia relativa a la utilización de la huella dactilar para el control de acceso de usuarios a las instalaciones deportivas “CampusEsport”, gestionadas por la FUNDACIÓN UNIVERSIDAD-EMPRESA DE LAS ILLES BALEARS MP (FUEIB). El sistema de fichaje por huella dactilar, implantado en 2005 y actualizado en 2011, se aplicaba únicamente a personas mayores de edad con abono de socio, permitiéndose el acceso manual a quienes no prestaran su consentimiento. La FUEIB contaba con una EIPD que indicaba la existencia de alternativas menos intrusivas para cumplir la misma finalidad.

En noviembre de 2023, tras la advertencia de su DPD sobre posibles incumplimientos normativos, la FUEIB planificó en los presupuestos de 2024 la sustitución del sistema biométrico por otro menos intrusivo. En junio de 2024 se procedió a la desactivación definitiva del control de acceso por huella dactilar y a la eliminación de los datos biométricos, implantándose lectores con códigos QR dinámicos asociados a la aplicación móvil de cada socio. El sistema basado en códigos QR permanecía activo a la fecha de la presente resolución.

Durante las actuaciones previas de investigación, se constató que el sistema biométrico había sido utilizado desde 2005, pero que las medidas para su sustitución se habían iniciado antes de la interposición de la denuncia, incluyendo la asignación presupuestaria, la aprobación formal de los presupuestos, el contacto y contratación de proveedores y la implementación del nuevo sistema. Así, la paralización definitiva del sistema biométrico y la activación del sistema de códigos QR se produjo en junio de 2024, con anterioridad a cualquier requerimiento de la AEPD.

El TJUE en su procedimiento C-768/2021 reconoce el margen de apreciación de las autoridades de control en el ejercicio de sus funciones y señala que, aun cuando existan indicios de vulneración, las autoridades pueden abstenerse de ejercer poderes correctivos cuando la presunta infracción ha sido subsanada y el tratamiento cumple con el RGPD. Esto se vincula con la proporcionalidad de la actuación de la autoridad de control, prevista también en los artículos 65.4 y 65.6 de la LOPDGDD, que permite el archivo o inadmisión de reclamaciones cuando el responsable demuestra haber adoptado medidas correctivas. En el presente caso, las actuaciones de la FUEIB para sustituir el sistema biométrico por códigos QR dinámicos reflejan diligencia en la adopción de medidas correctivas, respondiendo al principio de responsabilidad proactiva del artículo 5.2 y 24 del RGPD. Las acciones se llevaron a cabo con carácter previo a la denuncia y a la apertura del procedimiento por la AEPD, garantizando la conformidad del tratamiento con la normativa vigente. Por tanto, atendiendo a la especial diligencia del responsable y a la desaparición del sistema objeto de investigación, no se procede al despliegue de los poderes correctivos del artículo 58 del RGPD.

SERVICIOS FINANCIEROS CARREFOUR, E.F.C., S.A. (SFC) notificó a la AEPD una brecha de datos personales derivada de un ciberincidente con compromiso de credenciales de usuario y exfiltración de datos de clientes, incluidos algunos relativos a medios de pago. La brecha se inició el 17 de diciembre de 2023 y fue detectada el 19 del mismo mes mediante los sistemas proactivos de monitoreo de SFC. El ataque consistió en un acceso no autorizado a datos en el sistema corporativo, mediante suplantación de identidad (phishing) y uso de credenciales comprometidas provenientes de una fuente externa a SFC. No se indicó la implicación de terceros como encargados de tratamiento. Los datos no estaban cifrados ni anonimizados, y el incidente pudo generar inconvenientes importantes a los afectados. Durante el ciberataque, se registró un volumen anormal de peticiones al servicio utilizado por la aplicación móvil de SFC, detectándose que la mayoría de las solicitudes provenían de un reducido número de direcciones IP identificadas como maliciosas, las cuales fueron bloqueadas. El atacante accedió a un número indeterminado de cuentas mediante 19 credenciales comprometidas, afectando a datos personales de clientes como datos básicos, de contacto, número de DNI, información económica y financiera relativa a productos contratados, datos incompletos sobre medios de pago, ID de cliente y número de socio de El Club Carrefour. Se restablecieron las credenciales afectadas y se notificó a los clientes comprometidos, implementándose posteriormente un parche para evitar la continuidad del acceso no autorizado.

Conforme a la investigación, las cuentas comprometidas correspondían a clientes que se habían dado de alta de manera autónoma a través de los canales telemáticos de SFC. Se constató que la configuración del servicio, vigente desde su implantación en 2017, presentaba vulnerabilidades, que no se revisaron de forma proactiva durante años, lo que permitió la explotación del ciberataque. No constan medidas técnicas ni organizativas suficientes para garantizar la seguridad adecuada de los datos personales, incluida la protección frente a accesos no autorizados, pérdida o daño, vulnerando la integridad y confidencialidad exigida por el RGPD.

Tras la brecha, se recibió un conjunto de reclamaciones de clientes que habían sido informados por SFC mediante correo electrónico o postal sobre la exposición de sus datos personales. Las reclamaciones detallan la recepción de correos maliciosos y llamadas fraudulentas (vishing o phishing), en los que se utilizaban los datos comprometidos, incluyendo nombre, apellidos, dirección, número de DNI, código y fecha de alta de cliente, número de tarjeta de fidelidad e información bancaria parcial. Los incidentes reportados evidencian riesgos directos de suplantación de identidad y potenciales perjuicios patrimoniales para los afectados. El número de interesados afectados es elevado, y la naturaleza de los datos comprometidos, especialmente los DNI, constituye un factor de riesgo relevante, al tratarse de identificadores personales que permiten la identificación inequívoca del titular y facilitan suplantaciones de identidad y daños patrimoniales. El tratamiento de estos datos, sin medidas de seguridad adecuadas, amplifica el riesgo para los derechos y libertades de los afectados. Como circunstancias agravantes, la AEPD ha tenido en consideración que la actividad principal de SFC implica el tratamiento habitual y continuo de datos personales de clientes, afectando a un servicio central para la comercialización de sus productos; así como  la negligencia en la implementación y supervisión de medidas de seguridad. El incidente fue comunicado a las autoridades policiales y se tomaron medidas inmediatas para mitigar el ataque y bloquear el acceso no autorizado, si bien la exposición inicial de los datos personales refleja deficiencias graves en la protección de la información.

Por parte de Bizum, S.L., responsable del Directorio Bizum, notificó a la AEPD una brecha de seguridad que afectó a datos personales de usuarios —número de teléfono móvil y “alias” (nombre e iniciales de apellidos)— tras detectarse su publicación en una URL pública con 2.634 registros. BIZUM eliminó la URL y afirmó que la infraestructura del servicio no había sido vulnerada, al entender que el “alias” era necesario para garantizar la correcta experiencia de uso y prevenir fraudes. Alegó que los interesados no estaban expuestos a riesgo elevado, limitándose el posible perjuicio al contacto no deseado. Las investigaciones revelaron que el origen de la brecha se remonta a un incremento inusual de peticiones al Directorio Bizum realizadas por un usuario legítimo de una entidad adherida. Este usuario utilizó de forma indebida el servicio de “validación de usuario ordenante”, concebido para ser empleado exclusivamente por las entidades a fin de verificar el estado de sus propios clientes antes de iniciar operaciones de transferencia. Las solicitudes consistieron en un barrido secuencial de números de teléfono que afectó a unos 20.070 usuarios. El sistema de monitorización de Redsys, proveedor de la infraestructura Bizum, detectó el volumen anómalo, y bloqueó al usuario implicado horas después, una vez fue alertada por Bizum.

Pese a la detección de la anomalía, Bizum no identificó que se trataba de una brecha de datos personales hasta más de un año después, cuando tuvo conocimiento de la publicación de los datos en internet, notificando entonces el incidente a la AEPD, indicando que se había visto comprometida la confidencialidad, que los datos no estaban cifrados y que la brecha afectó a miles de usuarios. Bizum ya implementó tras una brecha anterior medidas como la monitorización de números de teléfono origen de usos abusivos, alarmas por alto volumen de operaciones y limitaciones al envío múltiple de dinero. Pero estas medidas no cubrían los servicios de validación previos a las transferencias, en los que también se accede a datos personales. Esto permitió que un usuario legítimo utilizara indebidamente un servicio reservado a las entidades adheridas para obtener información de terceros.

A raíz de este incidente, Bizum adoptó medidas reactivas, entre ellas limitar el servicio “Validación de Usuario Ordenante” para que solo devolviera el alias del usuario si pertenecía a la entidad que realizaba la consulta, fijando una fecha límite para que las entidades adaptaran sus sistemas. También recordó a las entidades que el alias solo debía mostrarse al confirmar la operación. Redsys, como encargado del tratamiento, redujo los umbrales de alerta del sistema de monitorización y Cecabank, procesador vinculado a la entidad del usuario implicado, limitó el número de consultas por sesión.

No consta que Bizum implantara medidas preventivas para evitar el uso indebido de servicios destinados a las entidades por parte de usuarios finales ni mecanismos eficaces de seguimiento de incidentes similares; ni disponía de sistemas adecuados para la detección temprana y mitigación de brechas.

La AEPD consideró que la publicación de los datos confirmaba que la exfiltración se produjo en septiembre de 2022, aunque no fue advertida por Bizum hasta noviembre de 2023, lo que evidenció deficiencias en sus mecanismos de control, desestimando las alegaciones de Bizum, que pretendía atribuir la responsabilidad al usuario o al atacante. Recuerda la AEPD que, conforme al principio de responsabilidad proactiva del RGPD, corresponde al Responsable aplicar y demostrar la efectividad de las medidas técnicas y organizativas necesarias. La infracción imputada no deriva del resultado —la publicación de los datos—, sino de la falta de medidas adecuadas para evitar, mitigar o detectar el incidente, conforme al artículo 32 del RGPD. Y la obtención de los datos fue posible debido a la insuficiencia de controles de seguridad aplicables a usuarios legítimos y a la falta de supervisión de los sistemas de las entidades adheridas, pese a que Bizum debía garantizar que la infraestructura y las implementaciones de dichas entidades ofrecieran un nivel de seguridad adecuado, siendo las medidas adoptadas reactivas y tardías, tras el incidente, confirmando que las anteriores eran insuficientes.

FIATC Mutualidad de Seguros notificó a la AEPD una brecha de seguridad tras detectar actividad anómala en su intranet de preproducción, causada por un acceso ilegítimo mediante credenciales válidas de una empleada. El incidente afectó a datos personales de unos 210.000 clientes y supuso una pérdida de confidencialidad. El atacante, desde una IP ubicada en Francia, realizó más de un millón de consultas en diversos módulos del sistema, accediendo a información identificativa, de contacto, financiera y contractual de clientes y agentes, que no estaba cifrada. Entre los datos afectados figuraban NIF, nombre, dirección, teléfono, correo electrónico, datos bancarios, información sobre pólizas de vida, vehículos y decesos, así como datos comerciales como valoración del cliente o consideración VIP. FIATC bloqueó el acceso el mismo día de la detección y comunicó que no había evidencias de publicación o uso fraudulento de la información. Sin embargo, semanas después tuvo conocimiento, a través de una entidad bancaria colaboradora, de posibles fraudes mediante cargos en cuenta de pequeñas cantidades a clientes de edad avanzada, detectándose casos similares en otras entidades. Aunque los cargos fueron revertidos, no pudo acreditar documentalmente los intercambios de información con las entidades ni confirmar si los datos usados procedían de la brecha. Inicialmente no se consideró necesaria la comunicación a los interesados, alegando ausencia de riesgo elevado y posible perjuicio psicológico a los afectados, pero tras requerimiento de la AEPD remitió comunicaciones a 134.373 personas por correo electrónico, postal y SMS. FIATC manifestó haber resuelto la brecha y reforzado sus medidas de seguridad, sin detectar nuevas intrusiones ni rastros de la información en la red o la dark web.

Analizada la documentación aportada se desprende que, en el momento del incidente, la intranet de FIATC era accesible desde internet sin autenticación multifactor (MFA) ni uso obligatorio de VPN corporativa. El informe de riesgos de 2023 ya identificaba como críticos los riesgos asociados a deficiencias en los mecanismos de autenticación y suplantación de identidad, previendo medidas que quedaron sin implantar (“IN.2023.03”, sobre doble factor de autenticación, figuraba como “parada”). Los test de intrusión de 2022 detectaron vulnerabilidades, entre ellas debilidades de credenciales y fallos XSS en servidores, sin constar su corrección. La política de seguridad de la información y la guía ISO 27001 internas confirmaban que los portales eran accesibles sin autenticación reforzada. A pesar de disponer de un cortafuegos avanzado, las conexiones desde la IP del atacante no fueron bloqueadas. Los datos extraídos —más de 30 GB— no estaban cifrados, lo que supuso un riesgo añadido para la confidencialidad.

FIATC aportó una evaluación de impacto sin fecha ni firma, con riesgos residuales calificados como “bajo” o “medio”, sin detallar medidas de mitigación. En el propio documento se reconocía el riesgo de divulgación no autorizada y deficiencias en el control de acceso. El análisis técnico concluyó que el atacante explotó la vulnerabilidad mediante credenciales sustraídas, posiblemente aprovechando fallos de seguridad existentes.

Por ello, la AEPD consideró que la brecha derivó de la falta de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, en vulneración del artículo 5.1.f) del RGPD, al no disponer de mecanismos suficientes de autenticación, cifrado ni control de acceso. La magnitud de la brecha —por volumen de datos, naturaleza de la información y número de afectados— evidenciaba una pérdida grave de confidencialidad y control sobre los datos personales, apreciándose además negligencia al no implantar medidas cuya necesidad ya había sido identificada internamente, en especial la autenticación multifactor y el uso de VPN, pese al conocimiento previo de riesgos críticos.

El reclamante denunció que la empresa Vivatech Servicios, S.L. le obligó a utilizar su teléfono móvil personal para fines laborales, incluyéndolo en un grupo de WhatsApp sin su consentimiento y exigiéndole la instalación de la aplicación de control horario Intratime. Alegó además que, tras manifestar su disconformidad, fue objeto de represalias. Por su parte, VIVATECH respondió que el uso de WhatsApp forma parte de sus canales de comunicación habituales, pero no constituye una obligación para los trabajadores. Afirmó que el reclamante abandonó el grupo voluntariamente y que en ningún momento fue sancionado ni obligado a permanecer en él. Señaló que el sistema de fichaje se realiza mediante el programa Intratime, que permite registrar entradas y salidas a través del móvil, de un ordenador o de un dispositivo instalado en la sede, y que el trabajador eligió libremente la opción móvil. La empresa añadió que, para evitar malentendidos, ha ampliado su cláusula informativa sobre el uso de WhatsApp e instalado medidas de seguridad adicionales en sus instalaciones.

Inicialmente, la AEPD inadmitió a trámite la reclamacíon, considerando que  VIVATECH había atendido al reclamación presentada. Sin embargo, el reclamante recurrió, indicando que fue añadido repetidamente al grupo por la gerente, aportando capturas de pantalla que muestran su incorporación y posterior eliminación del grupo “***GRUPO.1”, por lo que la AEPD estimó el recurso, señalando que el tratamiento de datos personales de los empleados —en particular sus números de teléfono privados— no puede basarse en el consentimiento, dado que en el contexto laboral no existe una libertad real para prestarlo o retirarlo sin perjuicio. Además, el documento firmado por el trabajador solo contemplaba el uso del teléfono para comunicaciones y notificaciones, no su difusión a otros empleados mediante aplicaciones de mensajería. Cuando los datos de contacto utilizados no son corporativos, su tratamiento o revelación a terceros no puede justificarse en la ejecución del contrato (art. 6.1.b RGPD) y requeriría una ponderación del interés legítimo que justifique su necesidad y proporcionalidad.

VIVATECH alegó que, dada la naturaleza de su actividad —servicios informáticos a domicilio y personal deslocalizado—, resultaba imprescindible mantener canales de comunicación ágiles para coordinar turnos, incidencias y tareas. Argumentó que el uso de WhatsApp se limita a fines laborales y se ampara en la organización y dirección empresarial reconocida en el artículo 20 del Estatuto de los Trabajadores, así como en el artículo 6.1.b del RGPD. Indicó que se ofreció a los empleados la opción de utilizar dispositivos corporativos o herramientas, pero los trabajadores prefirieron usar sus dispositivos personales por ser más conveniente. Entre estas alternativas figura la plataforma interna VivaSAT, accesible desde equipos de la empresa, que permite consultar asignaciones, registrar partes de trabajo y mantener comunicación con la dirección. La empresa presentó asimismo una nueva “Cláusula de Protección de Datos: Uso de WhatsApp, Sistemas de Fichaje y Comunicación Laboral”, en la que establece que el uso de WhatsApp es opcional y puede revocarse en cualquier momento sin repercusiones laborales, garantizando una vía alternativa de comunicación mediante VivaSAT.

En cuanto al control horario, Vivatech acreditó la existencia de contrato con Intratime y facturación regular del servicio, destacando que la aplicación permite distintas modalidades de fichaje y que no se obliga a los empleados a usar sus dispositivos personales. Por ello, la AEPD consideró que VIVATECH había ofrecido medios alternativos de comunicación y registro, sin que pudiera evidenciarse la existencia de un tratamiento ilícito ni una imposición efectiva del uso del teléfono personal, procediendo al archivo de las actuaciones

La AEPD tuvo conocimiento, a través de diversas informaciones periodísticas, de la difusión en redes sociales de imágenes manipuladas mediante inteligencia artificial en las que se asociaban los rostros reales de diversas personas con cuerpos desnudos ajenos. Según dichas noticias, las imágenes falseadas fueron compartidas y difundidas en distintos canales de mensajería y portales de internet, incluidos OnlyFans y otras páginas de contenido pornográfico. Ante la gravedad de los hechos, la AEPD inició actuaciones previas de investigación. Se recopilaron varias publicaciones digitales de distintos medios en las que se describía la manipulación y difusión de las imágenes. Poco después, una de las afectadas, B.B.B., presentó una reclamación ante la Agencia denunciando la creación y difusión de fotografías falsas de desnudos generadas con inteligencia artificial y difundidas a través de redes sociales. Tras tener conocimiento de que se habían iniciado actuaciones judiciales relativas a los hechos, la AEPD solicitó a la Fiscalía la identificación de las personas implicadas en la difusión de las imágenes manipuladas. La Fiscalía remitió la información solicitada, entre la que figuraban los datos de A.A.A. como responsable.

De las actuaciones practicadas se constató que A.A.A. había participado en la difusión, a través de un grupo de mensajería, de imágenes manipuladas con inteligencia artificial que mostraban los rostros reales de varias personas asociados a cuerpos desnudos que no les correspondían. Según lo establecido en los artículos 4.1 y 4.2 RGPD, la imagen de una persona constituye un dato personal, por lo que la asociación de rostros reales a cuerpos desnudos que no se corresponden con los suyos supone un tratamiento de datos personales por cuanto la imagen es un dato persona, tratamiento de los que A.A.A. es responsable, al difundir las imágenes a través de un grupo de mensajería. Dicho tratamiento de datos se efectuó sin contar con ninguna de las bases jurídicas de legitimación previstas en el artículo 6.1 del RGPD. La manipulación afectó, además, a personas que gozan de especial protección en el ámbito de la normativa de protección de datos, al tratarse de imágenes con connotación sexual que vinculaban indebidamente sus rostros a cuerpos desnudos, generando una grave intromisión en su intimidad y dignidad. Asimismo, el alcance de la difusión fue relevante, al haberse compartido las imágenes en un grupo de mensajería con varios integrantes y en diferentes plataformas en línea. A la vista de los indicios recabados, la Agencia consideró que los hechos podrían constituir una infracción del artículo 6.1 del RGPD, imputable a A.A.A. como responsable del tratamiento. Se notificó el acuerdo de inicio del procedimiento sancionador a sus progenitores y representantes legales, E.E.E. y F.F.F., otorgándoles un plazo de audiencia para formular alegaciones y presentar las pruebas que estimaran oportunas. Tras la notificación, E.E.E. procedió al reconocimiento de la responsabilidad y al pago voluntario de la sanción impuesta, finalizando el procedimiento ante la AEPD

La reclamante comunicó haber recibido una llamada de CONSULTING LAS ROZAS 2022 SL ofreciendo sus servicios para vender una vivienda de sus padres, durante la cual el interlocutor conocía su nombre, teléfono y parentesco con los propietarios, información que la reclamante afirma no haber facilitado previamente. Al preguntar por el origen de sus datos no obtuvo respuesta, por lo que remitió solicitud de acceso a sus datos personales a CONSULTING LAS ROZAS, sin recibir contestación en el plazo legal. Aporta copia del correo electrónico en el que ejerció su derecho de acceso.

Tras ser requerido por la AEPD, CONSULTING LAS ROZAS confirmó haber recibido la solicitud, señalando que, debido a situaciones extraordinarias y falta de seguimiento interno, no se atendió en plazo. Posteriormente, remitió respuesta al reclamante acreditando la supresión de sus datos y explicando que los mismos fueron facilitados a una colaboradora de la empresa por personas conocidas, sin identificar concretamente a estas, asegurando que los datos no se volvieron a tratar ni se comunicaron a terceros y que no se realizaron decisiones automatizadas ni perfilación. La empresa indicó, además, haber adoptado medidas internas para evitar incidencias similares y aportó documentación de los controles realizados.

De la instrucción del procedimiento se constató que la reclamante solicitó acceso a sus datos personales y que CONSULTING LAS ROZAS no atendió inicialmente dicha solicitud. La respuesta enviada no informaba de forma completa sobre todos los extremos requeridos: copia de los datos personales, fines del tratamiento, categorías de datos, destinatarios, comunicación a terceros o en países terceros, plazos de conservación o criterios para determinarlos, origen de obtención de los datos, existencia de decisiones automatizadas o elaboración de perfiles, ni la lógica aplicada o consecuencias del tratamiento; indicándose que desde el mismo momento de la recepción del correo del reclamante sus datos fueron bloqueados, pendientes de su supresión si el interesado así ejercita este derecho.

Sin embargo, la AEPD recuerda que el bloqueo de datos personales, efectuado para garantizar la protección de los mismos, no exime al responsable de facilitar la información solicitada mientras los datos se encontraban en tratamiento activo, ya que la normativa permite su acceso para verificar posibles responsabilidades derivadas del tratamiento. La supresión de datos conforme al artículo 32 de la LOPDGDD se efectúa mediante bloqueo, quedando los datos disponibles para autoridades competentes, incluidos tribunales y la AEPD, por el plazo de prescripción correspondiente. En consecuencia, la reclamante ejercitó su derecho de acceso a los datos personales, que debía haber sido atendido por CONSULTING LAS ROZAS desde la primera solicitud, sin que el hecho de que haya procedido a su bloqueo suponga la imposibilidad de suministrarlos conforme a la normativa aplicable.

La reclamación se dirige contra KINYO, S.L., por presunta vulneración de la Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI). La reclamante indica que, tras un error cometido por otra empresa del mismo sector, comenzó a recibir correos electrónicos comerciales no solicitados de dos personas distintas bajo el dominio kinyo.es. Señala que dichos mensajes carecían de información o enlace para ejercer el derecho de baja y que, al responder solicitando la supresión de sus datos, solo recibió contestación de uno de los remitentes, mientras que el otro continuó enviando comunicaciones sin responder a sus peticiones ni informar sobre el origen de sus datos. Se adjuntan copias de los correos recibidos y enviados por el reclamante: el 26/06/24, recibió cuatro correos comerciales desde las direcciones ***EMAIL.1 y ***EMAIL.3. Ese mismo día envió un correo solicitando la baja, recibiendo respuesta desde ***EMAIL.3 disculpándose y confirmando que no volvería a recibir comunicaciones, salvo petición expresa. No obstante, el 01/07/24 recibió un nuevo correo desde ***EMAIL.1 y reiteró su solicitud de baja dirigiéndose a ambas direcciones. Pese a ello, el 08/07/24 y 15/07/24 continuó recibiendo correos comerciales desde ***EMAIL.1.

Por su parte, KINYO reconoció que la demora en la cancelación, desde la primera solicitud hasta la supresión definitiva, se debió a que el primer comunicado no llegó al responsable de la base de datos, ejecutándose la baja tras una segunda solicitud. Añade que se reforzó la formación interna para garantizar la tramitación inmediata de solicitudes de cancelación o modificación de datos. KINYO sostiene que los envíos se realizaron con base en un interés legítimo del destinatario, al ser comprador en el sector informático, que no fueron automáticos sino gestionados por un operador comercial, y que el reclamante podía revocar su consentimiento mediante notificación al remitente. Niega que los datos procedieran de un tercero y argumenta que no hubo perjuicio ni beneficio económico para la empresa, considerando los hechos como aislados en más de veinte años de actividad.

No obstante, la AEPD considera que KINYO no ha aportado prueba alguna de que los datos del reclamante fueron obtenidos lícitamente ni que existiera relación contractual o consentimiento expreso, tal como exige el artículo 21.1 de la LSSI, que prohíbe el envío de comunicaciones comerciales sin consentimiento previo, salvo que exista relación contractual y los mensajes versen sobre productos o servicios similares. La alegación de interés legítimo no exime del cumplimiento de dicha obligación, y la referencia al artículo 39.c de la LSSI es improcedente. Asimismo, los correos recibidos carecían de un mecanismo sencillo y gratuito para oponerse al tratamiento de datos con fines promocionales, conforme al artículo 22 LSSI. La única opción era responder al remitente, lo que no constituye un procedimiento adecuado, ya que no garantiza un derecho claro y accesible. La demora en atender la solicitud de baja se prolongó 20 días, durante los cuales se remitieron tres correos adicionales tras la primera petición de oposición, incumpliendo la obligación de cesar de inmediato las comunicaciones comerciales tras la oposición del destinatario. La continuidad de los envíos constituye una vulneración de derechos, independientemente de que no se haya obtenido beneficio económico.

La reclamante denunció haber recibido en su teléfono un contrato de suministro eléctrico de la empresa Factor Energía, pese a no haber solicitado cambio alguno de comercializador. El documento, sin firmar, contenía su nombre, DNI, domicilio, teléfono, correo electrónico, datos bancarios, código de punto de suministro y otros datos del servicio. La reclamante negó haber facilitado tales datos y solicitó conocer su origen. Factor Energía respondió que el contrato mostraba el sello de “Enciende Energía”, nombre comercial de Bontecu Distribuciones, S.L.U., con quien mantenía una relación mercantil de agencia para la captación de clientes. Alegó que el contrato no fue remitido a Factor Energía para su validación ni activación, por lo que no trató los datos de la reclamante. Indicó además que Enciende Energía actuaba con sus propios medios y bases de datos, siendo responsable de los tratamientos efectuados durante la fase de televenta. Factor Energía rescindió posteriormente el contrato con Bontecu, alegando incapacidad para cumplir las medidas de control y prevención de fraude implantadas tras detectar malas prácticas en los canales externos de venta. Bontecu, por su parte, reconoció haber obtenido los datos a través de un colaborador externo subcontratado, identificado como B.B.B., contratado para realizar llamadas de televenta en nombre de Enciende Energía. Este agente habría cumplimentado los datos del contrato durante una llamada telefónica y los habría introducido en el sistema de Factor Energía para su envío al cliente. Sin embargo, la contratación no llegó a formalizarse y no consta grabación de la llamada, que según Bontecu habría sido solicitada sin obtener respuesta.

Analizada la documentación aportada, la AEPD constató que el contrato entre Factor Energía y Bontecu establecía una relación de encargo de tratamiento, mientras que Bontecu actuó como encargado y subcontrató a B.B.B. como subencargado, incurriendo en múltiples infracciones:

- Respecto de la subcontratación, el contrato suscrito entre Factor Energía y BONTECU no habilitaba la subcontratación de terceros, ni consta que BONTECU hubiera solicitado autorización alguna, ya sea general o específica, por la que Factor Energía permitiera la subcontratación de B.B.B.

- Sobre la legitimación del tratamiento: BONTECU no pudo acreditar que la reclamante facilitara su consentimiento para recabar sus datos, aun cuando las instrucciones de Factor Energía exigían expresamente la grabación de la llamada, sin que tampoco haya podido acreditar que existiera ninguna otra base de legitimación, correspondiéndole en este caso a BONTECU, demostrar la misma de acuerdo con el principio de responsabilidad proactiva.

- En relación al contenido del subencargo, el contrato entre BONTECU (encargado) y B.B.B. (subencargado), aun cuando su contenido sea idéntico al suscrito entre Factor Energía y BONTECU, no puede entenderse que cumple lo previsto en el artículo 28.4 del RGPD, en la medida en que no contiene los elementos exigidos por el artículo 28.3 del RGPD. De esta forma, el subencargo no especifican la finalidad del tratamiento, su naturaleza, el tipo de datos personales, ni las categorías de los interesados, de manera que no queda claro si son solo potenciales clientes o clientes del responsable; el objeto de encargo se especifica de manera genérica, no hace mención alguna a la posibilidad de recurrir a un subencargado previa autorización, no se precisan el detalle del modo en que el encargado deberá ayudar al responsable a cumplir con sus obligaciones... Lo que supone una mera reproducción del RGPD.

La reclamante denunció ante la AEPD a la entidad NEOS YOUTH PARTNER al comprobar que su imagen había sido difundida en las redes sociales Instagram y YouTube del establecimiento, con fines publicitarios, mientras se le practicaba un tratamiento estético. Alegó desconocer que estaba siendo grabada, no haber sido informada posteriormente y no haber otorgado su consentimiento para la captación ni para el uso de su imagen. Aportó cinco capturas de pantalla extraídas de las publicaciones en redes sociales, en las que se apreciaba claramente su rostro y distintas escenas del tratamiento. Por parte de la AEPD se pudo comprobar la existencia de los vídeos denunciados en el canal de YouTube de NEOS, donde aparecían tres grabaciones coincidentes con las aportadas por la reclamante, en las que podía verse su imagen en distintos momentos del procedimiento. Aunque las imágenes ya no estaban disponibles en Instagram, seguían accesibles en YouTube, con decenas de visualizaciones.

Requerida por la AEPD, NEOS aportó setenta y un vídeos relacionados con la grabación de un tratamiento estético de labios simulado, en los que la reclamante aparecía de manera reiterada. En ellos se reproducía un proceso ficticio que incluía su llegada al edificio, acceso al centro, entrevistas con personal de la clínica y la escenificación del tratamiento. Las tomas fueron realizadas desde múltiples ángulos y en varias secuencias repetidas, abarcando tanto su desplazamiento por la vía pública como su interacción con el personal. Los vídeos mostraban a la reclamante caminando hacia el local, subiendo escaleras, usando el ascensor, llamando al timbre y siendo recibida por la responsable del centro. También se registraron ocho tomas de su encuentro con una empleada en un despacho, en las que la trabajadora le ofrecía una tableta para supuestamente recabar su consentimiento. En otras veinticuatro grabaciones se recogía una entrevista con la responsable del establecimiento, en la que ambas conversaban sobre la duración y los efectos del tratamiento facial. Finalmente, en las restantes secuencias se simulaba la aplicación de un relleno labial, mostrando a la empleada acercar una jeringa sin carga a la boca de la reclamante, sin realizar ninguna punción ni aplicar sustancia alguna.

Las capturas de pantalla aportadas por la reclamante coincidían con imágenes extraídas de esos vídeos. En tres se observaba su rostro durante el supuesto tratamiento; en otra, se la veía recibiendo una tableta de una trabajadora; y en la última, aparecía de espaldas mientras conversaba con la responsable del centro.

La reclamante insistió en que acudió a NEOS para someterse a un tratamiento real, sin haber sido informada de la existencia de cámaras ni de la posterior difusión de su imagen. Afirmó que solo tuvo conocimiento de ello al descubrir los vídeos en redes sociales. Por el contrario, la responsable de NEOS sostuvo que la reclamante participó voluntariamente en la grabación de un vídeo publicitario, con conocimiento de que sería difundido en los canales de la empresa, y que las imágenes correspondían a una recreación de un tratamiento no realizado. Aun así, NEOS aseguró haber retirado los vídeos tras conocer la revocación del consentimiento por parte de la afectada, y manifestó que no existen otras grabaciones de la misma persona.

La AEPD concluye que, de la documentación obrante en el expediente muestra sin lugar a dudas que NEOS captó, almacenó y difundió la imagen de la reclamante en sus perfiles corporativos de Instagram y YouTube, empleándola como material publicitario; pero no se desprenden evidencias suficientes para dar por ciertas las manifestaciones de la reclamante, según las cuales se sometió a un tratamiento estético que fue grabado sin su conocimiento, teniendo en cuenta todo el material aportado por NEOS en el que se observan múltiples videos desde distintos ángulos simulando un tratamiento.

La Agencia Española de Protección de Datos dictó resolución sancionadora contra CARSO TRADING, S.L., ordenándole que, en el plazo de un mes, atendiera debidamente el derecho de acceso ejercido por una reclamante, conforme al artículo 15 del RGPD, e informara a la Agencia sobre las medidas adoptadas. La resolución fue notificada electrónicamente a CARSO TRADING, de acuerdo con lo previsto en la Ley del Procedimiento Administrativo Común. La notificación no fue recogida por la entidad en el plazo establecido, entendiéndose practicada válidamente al expirar dicho plazo, conforme a los artículos 41.5 y 43.2 de la LPACAP. De forma complementaria, se remitió una copia por correo postal al domicilio social que constaba en el Registro Mercantil y al domicilio fiscal registrado ante la Agencia Tributaria, siendo ambas devueltas por Correos con la indicación “desconocido”.

Transcurrido el plazo concedido sin que CARSO TRADING acreditara el cumplimiento de las medidas ordenadas, la AEPD le dirigió un nuevo requerimiento, otorgándole diez días hábiles para justificar la adopción de las acciones correctoras. Dicho requerimiento fue igualmente devuelto por Correos con la misma indicación, pese a haberse enviado nuevamente a los domicilios social y fiscal de la entidad.

CARSO TRADING no presentó ninguna comunicación ante la AEPD acreditando la atención al derecho de acceso ni la ejecución de las medidas requeridas. Tampoco interpuso recurso administrativo en el plazo previsto ni manifestó intención de acudir a la vía contencioso-administrativa. La Agencia no tiene constancia de que se haya formulado tal recurso ni de que se haya solicitado la suspensión cautelar de la resolución.

Con el transcurso de los plazos establecidos sin que se interpusiera recurso alguno, la resolución sancionadora devino firme y ejecutiva. Pese a ello, la entidad no ha acreditado el cumplimiento de las obligaciones impuestas, persistiendo en su falta de respuesta a los requerimientos emitidos por la Agencia. De este modo, se constata que CARSO TRADING ha incumplido una resolución firme de la AEPD, al no atender el derecho de acceso solicitado ni informar sobre las medidas adoptadas, lo que constituye una infracción del artículo 58.2.d) del RGPD, que faculta a las autoridades de control para ordenar al responsable del tratamiento que atienda los derechos de los interesados.

La reclamante denunció haber recibido llamadas telefónicas en las que se le informaba de un supuesto ajuste en su factura de luz, sin que se identificara claramente la empresa emisora. Durante una de las llamadas, se le envió un mensaje SMS con un enlace a una web desde la dirección ***URL.1, en la que figuraban sus datos personales ya cumplimentados. La llamada se realizó desde el número ***TELÉFONO.1. Al intentar ejercer su derecho de información, la reclamante accedió al enlace “Política de privacidad” del mismo sitio web, que contenía un texto genérico sin indicar cómo ejercer los derechos de protección de datos. El correo electrónico de contacto que figuraba en dicha política resultó inexistente. Con la reclamación se aportaron la captura del SMS recibido, la página web con los datos personales visibles, una captura del aviso legal del portal identificando como responsable a ***EMPRESA.1, y una grabación de la llamada, en la que la operadora conocía el nombre, apellidos, dirección y DNI de la reclamante.

La operadora telefónica de la línea receptora confirmó la existencia de la llamada en la fecha y hora indicadas. Del análisis de la grabación se comprobó que la entidad que realizó la llamada ya disponía de los datos personales de la reclamante antes del contacto. Requerida la identificación del titular del número llamante a la operadora correspondiente, esta informó que el número ***TELÉFONO.1 pertenecía en ese periodo a la entidad KAPTIVE ENERGY EMPIRE, S.L. (KAPTIVE).

Una búsqueda en internet permitió localizar la web “https://kaptive.es”, registrada a nombre de dicha entidad. La empresa ***EMPRESA.1, identificada en el aviso legal del portal al que redirigía el SMS, manifestó que no mantenía relación alguna con KAPTIVE. Requerida esta última por la AEPD para que informara sobre el origen de los datos de la reclamante y su posible vinculación con campañas comerciales, las notificaciones electrónicas y postales resultaron infructuosas, constando las devoluciones por “desconocido” y la expiración de los plazos. Posteriormente, se constató que el sitio web “https://kaptive.es” había sido deshabilitado y resultaba inaccesible. La empresa responsable del alojamiento web, informó que el dominio fue contratado por KAPTIVE el 8 de julio de 2021, confirmando que esta entidad figuraba como titular del dominio y del contrato de alojamiento. El domicilio social facilitado difería del que constaba en el Registro Mercantil; los nuevos intentos de notificación enviados a esa dirección y por vía electrónica fueron nuevamente devueltos o expiraron.

De la investigación se desprende que KAPTIVE realizó una llamada comercial no solicitada desde el número ***TELÉFONO.1 al teléfono de la reclamante, sin que existiera consentimiento previo ni relación contractual que justificara el tratamiento de sus datos personales. Además, de la grabación aportada se acredita que la entidad ya disponía de información identificativa y domiciliaria de la afectada antes del contacto. Al no haber respondido a los requerimientos de la AEPPD, KAPTIVE no ha acreditado el origen legítimo de los datos personales tratados ni la existencia de base jurídica para su uso con fines de prospección comercial, careciendo de expectativa razonable que ampare dicho tratamiento.

El Tribunal Superior de Justicia de Castilla y León resolvió el recurso interpuesto por un subinspector del Cuerpo Nacional de Policía, Estanislao, condenado por un delito de descubrimiento y revelación de secretos cometido por funcionario público. El procedimiento se originó a raíz de una investigación en la que se enjuiciaban varios delitos, entre ellos falsedad documental, blanqueo de capitales y revelación de secretos, siendo el acusado destinado en la Brigada Provincial de Extranjería de León.  El tribunal examinó tres accesos indebidos del acusado a bases de datos policiales:

- El primero, en la aplicación SINDEPOL, se realizó tras recibir mensajes de un amigo, propietario del Club Bahillo, solicitando información sobre una mujer que posteriormente denunció a su hermano. El acceso no tuvo continuidad probada ni se acreditó que transmitiera información al solicitante, por lo que fue absuelto.

- El segundo acceso, que motivó la condena, tuvo lugar cuando una amiga del acusado, Hortensia, le pidió información sobre su expareja, Ildefonso. Usando su clave de funcionario, el acusado consultó la base de datos ARGOS y comprobó que existía una detención por malos tratos. Minutos después, comunicó el resultado a Hortensia por mensaje de móvil. El afectado manifestó haberse sentido perjudicado por la transmisión de dicha información.

- El tercer acceso se produjo a petición de otra mujer, Enma, trabajadora del Club Bahillo y amiga del acusado, quien le solicitó que verificara si seguía vigente una orden de expulsión en su contra. El acusado comprobó los datos en ARGOS y le informó de que no constaba tal medida. La Audiencia Provincial lo absolvió también por este hecho, al entender que se trataba de información personal solicitada por la propia interesada, sin que mediara perjuicio ni beneficio alguno.

La condena se circunscribió al segundo episodio, en el que el funcionario accedió y divulgó datos personales reservados de un ciudadano sin justificación funcional ni autorización legal. El tribunal recuerda que los artículos 197 y 198 del Código Penal protegen la intimidad y la libertad informática, entendida como el derecho de cada persona a controlar el uso de sus datos personales, en línea con el artículo 18.4 de la Constitución y el Reglamento (UE) 2016/679 (RGPD). El TSJ confirma que el bien jurídico lesionado es la libertad informática, esto es, la facultad de toda persona para decidir sobre el tratamiento y la difusión de sus datos personales. Los antecedentes policiales constituyen un dato personal de carácter reservado que, aun no siendo de los enumerados expresamente como “especialmente sensibles”, afecta a la esfera íntima del individuo y merece la misma protección. En consecuencia, el perjuicio exigido por el tipo penal se materializa con el mero acceso no autorizado y, con mayor razón, cuando la información se comunica a terceros.

El tribunal señala que el acceso realizado por Estanislao excedió el ámbito de sus funciones y vulneró la normativa sobre protección de datos, pues la autorización para consultar bases policiales no ampara su utilización para fines privados. Reitera además que el perjuicio en estos supuestos no exige un daño económico, sino la simple invasión de la intimidad derivada del acceso indebido a información reservada.

En consecuencia, el TSJ de Castilla y León ratifica la calificación jurídica de la Audiencia Provincial y confirma la condena por un delito de descubrimiento y revelación de secretos cometido por funcionario público, en aplicación de los artículos 197.2 y 3 y 198 del Código Penal, por el acceso y comunicación no autorizados de datos personales contenidos en ficheros policiales.

La reclamante expone que en mayo de 2023 intentó contratar un servicio de internet y móvil con DIGI, que le denegó la gestión alegando una deuda desde 2021, circunstancia que ella niega, pues nunca había contratado con la compañía. Tras interponer denuncia ante la Guardia Civil, recibió el supuesto contrato, en el que solo coincidían su nombre, apellidos y DNI. Los hechos objeto de reclamación se remontan al 14 de octubre de 2021. La reclamante aportó denuncia por usurpación de identidad, reclamación ante DIGI y copia del contrato supuestamente fraudulento.

DIGI, en su respuesta a la AEPD, indicó que el 14 de octubre de 2021 se realizó un alta pospago a través de su canal web con los datos aportados por un tercero. El contrato fue firmado electrónicamente mediante el prestador de servicios de confianza Logalty, que valida la firma con un número de teléfono proporcionado por el propio tercero. DIGI afirmó no disponer de pruebas suficientes para confirmar la suplantación de identidad y señaló que los hechos ya habían sido puestos en conocimiento de las autoridades policiales, sin que consten requerimientos judiciales o policiales adicionales.

En alegaciones posteriores, DIGI reconoció que el 14 de octubre de 2021, a las 20:35, un tercero contrató la línea pospago con los datos de la reclamante y firmó electrónicamente el contrato mediante Logalty, utilizando un número de teléfono proporcionado por sí mismo. La tarjeta SIM asociada fue enviada al domicilio facilitado por el tercero a través de Correos Express, bajo entrega exclusiva al destinatario previa verificación de identidad. Tras la reclamación de la afectada en mayo de 2023, DIGI procedió a rectificar los datos, bloquear la deuda y cancelar la información relativa al presunto fraude. La compañía destacó que la fecha de nacimiento solo se verifica para confirmar la mayoría de edad, sin verificar la identidad real del contratante.

El análisis de Logalty muestra que la validación se basó únicamente en la posesión del número de teléfono y la aceptación de un PIN enviado por SMS, lo que autentifica acceso al teléfono, pero no garantiza que la persona que firmó el contrato sea la real titular de los datos proporcionados. DIGI sostiene que la SIM fue entregada al destinatario, pero ello no evita que el contrato fraudulento se formalizara y que los datos de la reclamante fueran tratados indebidamente. La diligencia en la verificación de identidad resulta insuficiente, permitiendo un acto fraudulento que constituye un tratamiento ilícito de datos personales. A este respecto, la AEPD aprecia una serie de deficiencias que permiten un tratamiento ilícito de datos personales: así, en primer lugar, en el proceso de contratación no se verifica la veracidad de los datos, sino únicamente se comprueba que los números que se indican corresponden a un DNI. La identificación del titular se basa a través de una firma que se realiza a través de un operador de confianza. Sin embargo, dicha firma se recaba a través de una línea móvil que se indica en el documento y a la que se envía un SMS, medida que, sin embargo, no puede asegurar que la persona que dispone de esa línea sea efectivamente la que se ha indicado como la persona que realiza la contratación. DIGI afirma que la entrega posterior de la SIM consecuencia de la contratación se realiza por parte de Correos Express previa comprobación del DNI, pero dicha afirmación, no desvirtúa el hecho de que el contrato fraudulento ya haya sido formalizado y los datos que figuran en el mismo, tratados indebidamente.

En consecuencia, queda acreditado que DIGI trató los datos de la reclamante sin base jurídica conforme al artículo 6.1 del RGPD, puesto que no se cumplió ninguna de las condiciones legitimadoras previstas para el tratamiento de datos personales. La contratación no solicitada de la línea constituye un tratamiento de datos sin consentimiento ni autorización legal, vulnerando el RGPD.

La reclamante manifestó haber sido contactada telefónicamente por REPSOL Comercializadora de Electricidad y Gas S.L.U., a través de un número de su titularidad que no utiliza habitualmente, sugiriendo un posible acceso indebido a información vinculada a su teléfono sin relación contractual con la entidad. La reclamación fue trasladada a REPSOL, que informó que la reclamante figuraba como posible cliente en su base de datos, obtenida a través del proveedor de captación de clientes IGNIUM Consulting, S.L., con el que REPSOL mantenía contrato de prestación de servicios. IGNIUM, a su vez, obtenía datos de AD735 Data Media Advertising, S.L., según contrato que establecía que AD735 suministraría a REPSOL bases de datos de potenciales clientes, garantizando la captación conforme a la normativa vigente en materia de protección de datos, a través de formularios web en los que los usuarios otorgaban su consentimiento expreso para recibir comunicaciones comerciales de terceras empresas, incluyendo REPSOL.

REPSOL aportó un certificado de AD735 donde constaba que los datos de la reclamante —nombre, teléfono, dirección e IP dinámica— fueron obtenidos mediante su participación en un sorteo en la web www.premium-sales.es, habiendo otorgado consentimiento para la cesión a terceras empresas con fines de mercadotecnia. AD735 indicó que, actualmente, los datos de la reclamante estaban bloqueados y no eran objeto de tratamiento, registrando fecha de alta 25/03/2021 y fecha de baja 05/05/2024. La política de privacidad de AD735 y el contrato con IGNIUM establecían que el tratamiento se basaba en consentimiento explícito, que los titulares podían oponerse a recibir publicidad de terceros y que los datos no serían cedidos a quienes ejercieran su derecho de exclusión, incluyendo listas como la “Robinson”. Asimismo, AD735 mantenía registros de trazabilidad del consentimiento y había implantado sistemas de doble verificación en la medida técnica posible.

No obstante, se constató que los mecanismos para acreditar la identidad del titular de los datos en la inscripción de las promociones no ofrecían garantías suficientes. Cualquier persona con conocimiento de nombre, apellidos y teléfono podría haber introducido los datos en el sitio web, que luego serían cedidos a terceros para marketing. Los registros aportados, incluyendo IP, navegador y fecha de registro, no son suficientes para demostrar que el consentimiento provino del titular legítimo. El simple marcaje de casillas de aceptación de la política de privacidad y de recepción de comunicaciones comerciales no asegura la autenticidad del consentimiento ni cumple con el principio de prueba exigido por el artículo 7.1 del RGPD, que requiere que el consentimiento sea libre, específico, informado, inequívoco y verificable. La parte reclamada tampoco demostró que los procedimientos implantados, como la doble verificación, resultaran técnicamente suficientes para garantizar la identidad del titular, permitiendo potencialmente la obtención indiscriminada de datos personales y su tratamiento ilícito por terceros.

El Tribunal Supremo ha admitido a trámite el recurso de casación interpuesto por una ciudadana, Carina, contra la sentencia del Tribunal Superior de Justicia de Madrid que confirmó la denegación de regularización de su vivienda por la Agencia de Vivienda Social de la Comunidad de Madrid. El Juzgado de lo Contencioso-Administrativo n.º 6 de Madrid había estimado inicialmente su recurso, considerando que la falta de presentación de una declaración responsable sobre no estar incursa en causa penal por delito de usurpación no podía perjudicarla, pues había autorizado a la Administración a consultar sus datos. Además, el Juzgado tuvo por acreditada su residencia continuada en la vivienda. En apelación, el TSJ de Madrid confirmó la existencia de esa residencia, pero revocó la estimación del recurso al considerar esencial la presentación del documento requerido. Argumentó que el artículo 14 de la Ley 9/2015 de la Comunidad de Madrid impide regularizar viviendas ocupadas por personas condenadas o incursas en causa penal por usurpación. Al no haberse atendido el requerimiento, no podía tenerse por acreditado el cumplimiento de dicho requisito. Añadió que la autorización genérica de consulta de datos no permitía a la Administración acceder a antecedentes penales, ya que el artículo 10.3 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) solo habilita el tratamiento de datos sobre condenas o medidas penales cuando se lleva a cabo por abogados o procuradores en el ejercicio de sus funciones. En consecuencia, concluyó que la Agencia de Vivienda Social no podía recabar directamente esa información y que el documento debía ser aportado por la interesada.

La recurrente denunció ante el Tribunal Supremo la infracción del artículo 28.2 de la Ley 39/2015, del Procedimiento Administrativo Común, en relación con el artículo 10 de la LOPDGDD y con el artículo 24 de la Constitución. Alegó que no tenía obligación de aportar la documentación solicitada, ya que había consentido expresamente que la Administración recabase los datos necesarios para tramitar el expediente. Defendió que el artículo 10 de la LOPDGDD no prohíbe a las Administraciones consultar antecedentes penales de los administrados para fines legítimos vinculados a sus competencias, cuando la persona afectada ha otorgado autorización expresa. Sostuvo que el artículo 28.2 de la Ley 39/2015 —modificado por la propia LOPDGDD— ampara tal posibilidad. También adujo que el TSJ resolvió el recurso de apelación con base en un argumento que no fue esgrimido ni por la Administración ni por la Comunidad de Madrid en su recurso. El Supremo recuerda que ha analizado en diversas ocasiones el alcance del consentimiento otorgado por los interesados para la consulta de datos por parte de la Administración, en particular en relación con la obligación de los ciudadanos de aportar documentación que ya obra en poder de la Administración o puede ser recabada por medios telemáticos. En sentencias previas, el Tribunal ha declarado que, salvo oposición expresa del interesado, las Administraciones deben recabar directamente la documentación necesaria que ya posean o puedan obtener de otras entidades públicas. Sin embargo, subraya que en este caso la cuestión adquiere una dimensión diferente, al referirse al acceso y tratamiento de datos de naturaleza penal, cuya protección está sometida a límites específicos en virtud del artículo 10 de la LOPDGDD y del Reglamento (UE) 2016/679 (RGPD). El Tribunal Supremo considera que el asunto presenta interés casacional objetivo para la formación de jurisprudencia, dado que no existe doctrina consolidada sobre si la autorización genérica del administrado permite a la Administración consultar datos relativos a condenas o causas penales. En consecuencia, admite el recurso para interpretar el alcance del artículo 28.2 de la Ley 39/2015 en relación con el artículo 10 de la LOPDGDD y determinar si, habiendo autorizado el interesado la consulta de sus datos, la Administración puede acceder legítimamente a los antecedentes penales necesarios para resolver un procedimiento administrativo.