Resoluciones Relevantes SEPTIEMBRE 2025

El reclamante denuncia ante la AEPD que el Club Baloncesto Telde procedió a la publicación en redes sociales de fotografías en las que aparecía un menor, hijo del reclamante, en régimen de custodia compartida con su madre. El padre alegó haber denegado expresamente el consentimiento para dicho tratamiento, aportando el formulario oficial del club en el que se encontraba marcada la opción negativa. También presentó capturas de las imágenes difundidas en las cuentas oficiales de la entidad. Por su parte, BALONCESTO TELDE sostuvo que desconocía la situación familiar del menor, cuestionando la autenticidad de la documentación presentada y afirmó que la madre había prestado consentimiento expreso. Además, negó la validez de las pruebas aportadas, solicitando los originales de los documentos y de las fotografías.

Abierto periodo de prueba, se requirió al reclamante acreditar el vínculo paternofilial, lo que efectuó mediante DNI propio y del menor, Libro de Familia y copia del formulario de consentimiento. Consta acreditado que el 12 de septiembre de 2023 el padre del menor denegó de forma expresa el consentimiento para la publicación de imágenes, marcando la casilla correspondiente en el documento del club. Pese a ello, el 8 de enero de 2024 la entidad difundió fotografías del equipo en las que el menor era reconocible, publicadas en el perfil oficial del club, confirmando los enlaces señalados por el reclamante. La alegación relativa a un consentimiento otorgado por la madre no fue probada por BALONCESTO TELDE, y, en cualquier caso, la existencia de consentimientos contradictorios exigía al responsable extremar las comprobaciones conforme al artículo 8.2 RGPD, que impone la obligación de realizar esfuerzos razonables para verificar que la autorización procede de quien ostenta la patria potestad.

El club se limitó a negar la validez de la documentación aportada por el reclamante, sin acreditar la autenticidad de la supuesta autorización de la madre ni atender al requerimiento de la Agencia. La doctrina del antiguo Grupo de Trabajo del Artículo 29, hoy Comité Europeo de Protección de Datos, recuerda que el tratamiento de imágenes de menores requiere especial cautela, incluso en casos de fotografías colectivas, y debe garantizar siempre la posibilidad de los progenitores de oponerse a la publicación.

En consecuencia, se considera probado que el Club Baloncesto Telde publicó la imagen del menor sin un consentimiento válido y en contra de la oposición expresa de uno de sus representantes legales, incumpliendo las obligaciones impuestas por el RGPD y la normativa española de protección de datos.

El reclamante denunció que su contrato con Naturgy fue cambiado de titularidad y de número de cuenta sin su consentimiento, lo que provocó la baja indebida de los suministros en su domicilio. Un tercero, B.B.B., contrató con Endesa, aportando como dirección la que figuraba en su DNI, coincidente con la del reclamante salvo en el portal. El agente comercial encargado de tramitar la solicitud, perteneciente a Salesland, S.L., omitió este dato, lo que generó un error de asociación de los CUPS vinculados al reclamante. Como consecuencia, cuando B.B.B. solicitó la baja de sus contratos, la vivienda del reclamante quedó sin suministro. La Consejería de Industria de la Junta  de Galicia estimó la reclamación presentada por el afectado, declarando indebida la suspensión del suministro. La AEPD requirió a la ENDESA información sobre las causas del error, medidas adoptadas y actuaciones realizadas. ENDESA reconoció que el fallo se produjo en un punto de venta presencial (“Canal Stand”) por la deficiente identificación del punto de suministro. La compañía explicó que el agente no aplicó el procedimiento de cambio de titularidad previsto para dicho canal, que exige verificar documentación y realizar una llamada de confirmación.

ENDESA indicó que no se produjo cesión de datos personales del reclamante a B.B.B., limitándose las comunicaciones a enviar acuses de recibo a la dirección de correo del nuevo titular, sin incluir datos identificativos del reclamante. Una vez conocida la incidencia, Endesa intentó contactar reiteradamente con el reclamante para ofrecerle compensación económica. Asimismo, afirmó haber introducido medidas de refuerzo, consistentes en que, antes de la firma de un contrato, el solicitante confirme en el dispositivo de validación el “trinomio” titular, dirección y CUPS, para evitar errores.

En cuanto a la normativa sectorial, la compañía alegó que el proceso de cambio de comercializadora se ajusta a la Ley del Sector Eléctrico y a la Resolución de la CNMC de 17/12/2019, que prevén que la distribuidora actúe como intermediaria en la verificación formal de datos. Sin embargo, se constató que el error no radicó en el procedimiento de comunicación entre agentes, sino en la actuación negligente del comercializador entrante, que no comprobó la correspondencia entre el solicitante y el punto de suministro.

La AEPD concluye que ENDESA vulneró el artículo 5.1.d) RGPD, principio de exactitud, al vincular indebidamente los CUPS de la vivienda del reclamante a los datos de un tercero. Esta actuación, que ocasionó la baja de los suministros sin autorización. El deber de exactitud exige a los responsables adoptar medidas razonables para garantizar la corrección de los datos personales, cuya inobservancia puede causar perjuicios significativos, como sucedió en el presente caso.

Un ciudadano denunció que el Ayuntamiento exigía, como requisito para inscribir a los menores en el programa municipal “Fun Summer”, la aceptación de la publicación de fotografías en redes sociales públicas y en un canal de difusión de WhatsApp. En caso de negativa, los menores quedaban automáticamente excluidos de todas las actividades. El formulario de inscripción contenía una cláusula en la que, junto a la casilla de autorización, se advertía expresamente: “La no aceptación de estas normas implica la no inscripción en ninguna de las actividades referidas”.

El Ayuntamiento alegó que la actividad era de su exclusiva competencia en materia de promoción del deporte y ocio, y que la base legitimadora del tratamiento se encontraba en los artículos 6.1.c) y e) RGPD, al tratarse de una misión realizada en interés público y en el ejercicio de poderes públicos. Argumentó además que la difusión de imágenes respondía a fines de transparencia, publicidad de las actividades y recuerdo para los participantes, siendo proporcional a los objetivos perseguidos. Defendió que no se trataba de fotografías individuales sino vinculadas a las actividades, y que los interesados disponían de derechos de oposición y supresión una vez producida la publicación.

Sin embargo, la AEPD recordó que el artículo 6.1.c) RGPD solo ampara tratamientos impuestos por una obligación legal prevista en norma con rango de ley, y que el artículo 6.1.e) exige que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público. En el presente caso, no existe disposición legal que obligue ni legitime la difusión de imágenes de menores en redes sociales o en canales de mensajería, ni dicha difusión resulta necesaria para el ejercicio de competencias municipales en materia de deporte u ocio. Por tanto, las bases jurídicas invocadas por el Ayuntamiento no son aplicables. En cuanto a la alegación de que la publicación se amparaba en obligaciones de transparencia, la AEPD señaló que la normativa en esta materia (Ley 19/2013 y disposiciones autonómicas) exige publicidad activa de información relevante, pero siempre condicionada al respeto del RGPD y de la LOPDGDD. Además, las finalidades de promoción, difusión o justificación del destino de recursos públicos pueden cumplirse sin necesidad de difundir imágenes de menores identificables.

Respecto al consentimiento, la AEPD consideró que el recabado mediante el formulario no cumplía los requisitos del artículo 4.11 RGPD, pues no fue libremente prestado. La advertencia de que la negativa a la difusión de imágenes implicaba la exclusión del programa privaba a los interesados de una verdadera capacidad de elección, convirtiendo el consentimiento en una condición obligatoria para el acceso a un servicio público. Aunque la marcación de la casilla constituía un acto afirmativo, no puede considerarse una manifestación de voluntad libre, específica e inequívoca. En consecuencia, se considera que el Ayuntamiento condicionó ilícitamente la participación en actividades municipales a la aceptación de un tratamiento de datos personales no amparado por ninguna base legal válida. Ello constituye una vulneración del artículo 6.1 RGPD, al no haberse obtenido un consentimiento válido ni concurrir otra base jurídica que legitimara la difusión de las imágenes de menores.

La Sra. Socorro prestaba servicios laborales en Consulting de Ingeniería y Edificación, S.L., que detectó errores e inactividad en los proyectos asignados, así como una aparente disminución del rendimiento. Mediante la comprobación de registros en el programa interno “Gestproyect” y en los servidores, la empresa constató que las horas imputadas por la trabajadora no se correspondían con avances en los expedientes encomendados. Ante estas irregularidades, y sin acceder a carpetas personales, la dirección comprobó que la actora utilizaba el ordenador corporativo para realizar trabajos profesionales ajenos a la compañía. La empresa encargó un informe pericial sobre el disco duro del equipo de sobremesa utilizado por la trabajadora, delimitando el análisis entre enero y septiembre de 2023. El perito constató que entre un 70% y un 80% de la actividad registrada correspondía a tareas ajenas a la empresa, incluyendo documentos de otras entidades públicas y privadas. La actora tenía instalado, sin conocimiento de la empleadora, un servicio de almacenamiento en la nube (“One Drive Personal”), pero el experto declaró expresamente que no accedió a dicho contenido, limitándose al análisis de archivos vinculados con el uso profesional del equipo.

La trabajadora alegó vulneración de su derecho a la intimidad, invocando el artículo 87 LOPDGDD, el artículo 20 bis ET y la doctrina constitucional y europea (caso Barbulescu, STS 8 de febrero de 2018, entre otras). Sostenía que la empresa había accedido ilegítimamente a información personal sin garantías. No obstante, el Tribunal rechaza dicha tesis. Considera que el control empresarial se limitó al examen del ordenador facilitado como herramienta de trabajo, sin intromisión en carpetas privadas ni acceso a información personal. Recuerda que la normativa y la jurisprudencia permiten al empresario ejercer facultades de vigilancia para verificar el cumplimiento de las obligaciones laborales, siempre que el control sea idóneo, necesario y proporcional. En este caso, el clonado del disco duro y el posterior análisis fueron medios adecuados para comprobar el incumplimiento alegado, empleándose únicamente la información imprescindible para constatar la disminución del rendimiento.

La Sala concluye que no existió vulneración del derecho fundamental a la intimidad digital, pues la actuación empresarial respetó los límites constitucionales y legales. En consecuencia, declara procedente el despido de la trabajadora por transgresión de la buena fe contractual y disminución continuada y voluntaria del rendimiento.

La reclamante, exempleada del reclamado A.A.A., denunció la instalación de cámaras de videovigilancia con captación de sonido en el negocio sin información adecuada a los empleados. Afirmó que las cámaras se orientaban también hacia zonas de descanso y a la vía pública, y que el empresario utilizó grabaciones de conversaciones privadas para imponer sanciones disciplinarias e incluso despidos, lo que derivó en la pérdida de su puesto de trabajo. Aportó imágenes del dispositivo y del almacén donde se aprecian un microondas y una cafetera, que identificó como su espacio de descanso.

El reclamado reconoció disponer de un sistema de cinco cámaras con finalidades de seguridad y control laboral. Presentó documentación sobre el responsable de la instalación, cartel informativo en el acceso, fotografías de las cámaras y su campo de visión, acreditación del plazo de conservación de siete días, cláusulas informativas firmadas por los empleados, el Registro de Actividades de Tratamiento, análisis de riesgos, evaluación de impacto y manual de procedimientos. Una de las cámaras captaba la vía pública y otra el almacén.

El RGPD exige que el tratamiento de datos se ajuste al principio de minimización, de modo que solo se traten los estrictamente necesarios para la finalidad perseguida. En materia de videovigilancia laboral, no pueden captarse imágenes que afecten a la intimidad de los trabajadores, siendo desproporcionado grabar en vestuarios, aseos, comedores o zonas de descanso, estando prohibida expresamente la instalación de sistemas de grabación de sonidos o imágenes en lugares destinados al descanso o esparcimiento de los trabajadores, con independencia de su orientación o activación. De la documentación aportada se desprende que una de las cámaras estaba instalada en el almacén, espacio que servía como zona de descanso, lo que contraviene directamente el art. 89.2 LOPDGDD. La mera existencia de una cámara en esa ubicación constituye un exceso en el tratamiento y una vulneración del principio de minimización del artículo 5.1.c) del RGPD, requiriéndose al Responsable para que acredite la retirada o reorientación de la cámara de forma que se garantice que no se capten imágenes que afecten a la intimidad de los empleados.

El denunciante manifestó que la entidad OC Electricidad y Gas, S.L. (OC EG), en su condición de encargado del tratamiento, se negó a suprimir los datos personales objeto de tratamiento una vez concluido el contrato y pese a sus solicitudes reiteradas, incumpliendo así la cláusula contractual de devolución o destrucción de datos. Según el denunciante, la empresa conservaba toda la información de la relación comercial sin base legítima y la utilizaba para acciones de fidelización y captación, incluso en beneficio de otra sociedad con la que prestaba servicios, vulnerando el principio de minimización.

Por su parte, OC EG reconoció haber mantenido los datos tras la finalización del contrato, argumentando que la relación se extinguió al expirar el último acuerdo anual, sin renovación para 2023, lo que derivó en un litigio con ***EMPRESA.5. OC EG alegó que la conservación resultaba imprescindible para ejercer su derecho de defensa en un procedimiento civil iniciado contra varias empresas del grupo, en el que reclama comisiones no pagadas e indemnización por clientela derivada de contratos de agencia. Expuso que, para acreditar los servicios prestados, el incremento de cartera de clientes y las condiciones contractuales, necesitaba disponer de la documentación relativa a la relación con ***EMPRESA.5, que incluía datos personales de clientes. Con el fin de garantizar el cumplimiento normativo, OC EG indicó haber procedido al bloqueo de los datos y a su depósito notarial. Según el acta de requerimiento levantada por el notario C.C.C., la compañía grabó toda la información en un único soporte digital custodiado en sobre cerrado durante cinco años o hasta que recaiga sentencia firme en el procedimiento judicial, destruyendo todas las demás copias en papel y en formato electrónico, salvo la documentación aportada en sede judicial.

La entidad sostuvo que esta actuación se encuentra amparada en el artículo 33.4 de la LOPDGDD, que permite conservar los datos bloqueados cuando pudieran derivarse responsabilidades legales, en conexión con el artículo 24 de la Constitución Española y el artículo 6.1.f) del RGPD, que reconoce el interés legítimo en la defensa judicial. En consecuencia, consideró que no procedía su destrucción indiscriminada, como reclamaba la denunciante, sino su conservación limitada al procedimiento en curso y bajo custodia notarial, sin que exista tratamiento ulterior con fines comerciales.

Un trabajador de DRÄGER MEDICAL HISPANIA S.A. demandó a la empresa y al FOGASA por despido disciplinario. El Juzgado de lo Social desestimó la demanda y declaró procedente el despido, fallo que fue recurrido en suplicación. Consta acreditado que el actor, vendedor de la empresa, viajó a Madrid para asistir a un curso de formación sufragado por la compañía. El primer día asistió con normalidad, pero la noche del 9 de abril tomó un taxi desde un restaurante hasta una dirección en Puente de Vallecas, a más de 15 km, con un coste de 63,05 € cargado a la empresa. Al día siguiente no acudió a la formación ni pudo ser localizado, lo que motivó incluso la denuncia de su desaparición por parte de la empresa. Finalmente reapareció el 11 de abril en el hotel, solicitando adelantar su vuelo de regreso y sin reincorporarse a las sesiones formativas. La empresa asumió los gastos de hoteles y vuelos, además del taxi, mientras que la ausencia del actor provocó que una compañera no pudiera utilizar su ordenador de trabajo. Posteriormente, el actor fue atendido en urgencias por crisis de ansiedad y se le expidió baja médica desde el 10 de abril. La carta de despido disciplinario se fundó en su inasistencia injustificada, la alteración del normal desarrollo del curso de formación, el desvío del uso del servicio de transporte pagado por la empresa y los costes indebidos generados.

En el recurso, el trabajador alegó vulneración de derechos fundamentales, sosteniendo que los documentos aportados por la empresa sobre el trayecto del taxi suponían un tratamiento ilegítimo de datos personales y una intromisión en su intimidad, dado que se trataba de desplazamientos fuera de horario laboral. Invocó los artículos 18 CE, 5 LOPDGDD y 5.1.a) RGPD, solicitando la nulidad de la prueba. La empresa se opuso, señalando que la consulta se limitó a verificar el detalle de los viajes facturados por la aplicación de transporte contratada para uso estrictamente profesional, costeado íntegramente por la compañía, y que el trabajador no podía tener expectativa de privacidad respecto de un servicio público abonado por su empleador. El Tribunal rechaza la alegación de nulidad de prueba y confirma la sentencia de instancia. Señala que la información sobre el trayecto se obtuvo de un proveedor contratado por la empresa para el transporte de sus trabajadores y que el control realizado supera el juicio de proporcionalidad, pues era idóneo y necesario para verificar un gasto inusual y elevado. No se trató de una injerencia en la vida privada, sino de la comprobación del uso de un servicio costeado por la empresa. Recuerda la doctrina constitucional y jurisprudencial que diferencia entre el derecho a la intimidad y el derecho a la protección de datos, destacando que no existe expectativa razonable de intimidad en el uso de medios o servicios profesionales proporcionados y pagados por la empresa cuando el trabajador conoce que su utilización está sujeta a control. La decisión empresarial no se basó en datos íntimos, sino en la verificación de un trayecto cargado a la empresa. En consecuencia, el Tribunal Superior de Justicia desestima el recurso y confirma la procedencia del despido disciplinario, al no apreciarse vulneración de derechos fundamentales ni ilicitud en la prueba aportada.

El reclamante denunció haber sido víctima de un fraude de tipo Business Email Compromise (BEC), al recibir un correo desde la dirección corporativa de INSTALFRICA CLIMATIZACIÓN en el que se le facilitaba un número de cuenta distinto para abonar un pedido. Tras realizar el pago en la cuenta fraudulenta, constató que terceros habían accedido ilícitamente al buzón de correo de INSTALFRICA CLIMATIZACIÓN, manipulando las comunicaciones. El reclamante interpuso denuncia policial y reclamación ante la AEPD, alegando falta de protección de sus datos personales. Aporta junto a su reclamación los intercambios de correos entre reclamante e INSTALFRICA, en los que se incluyó la factura, los datos fiscales del afectado y la cuenta de pago. Posteriormente, desde la misma cuenta corporativa intervenida, se envió un nuevo correo indicando el cambio de IBAN, lo que motivó la transferencia indebida.

Por su parte, INSTALFRICA CLIMATIZACIÓN reconoció que su correo corporativo fue hackeado, lo que permitió a terceros bloquear temporalmente las comunicaciones y manipularlas para desviar el pago. Indicó que, hasta el momento del incidente, el buzón había funcionado con normalidad y sin señales de irregularidad. La brecha afectó únicamente al reclamante y comprometió sus datos identificativos y fiscales. INSTALFRICA aportó evidencia de disponer de medidas técnicas y organizativas previas, entre ellas: contratación de soluciones de ciberseguridad en el marco del programa Kit Digital, firewall, protección de correo electrónico, conexiones SSL, licencias Microsoft 365 con autenticación multifactor obligatoria, gestión restringida de usuarios, procedimientos formales de alta y baja, renovación periódica de contraseñas y control de accesos. Asimismo, acreditó contratos con proveedores especializados de servicios informáticos y de ciberseguridad, designación de Delegado de Protección de Datos externo, formación al personal en materia de RGPD y ciberseguridad, y la realización de una auditoría de riesgos. Tras el incidente, reforzó sus controles de seguridad, amplió medidas preventivas, contrató servicios adicionales de monitorización y adoptó protocolos internos de respuesta ante incidentes.

Analizada la documentación aportada, la AEPD recuerda que la mera existencia de una brecha de seguridad no implica por sí sola la comisión de una infracción, siendo necesario valorar la diligencia del responsable y las medidas adoptadas. En este caso, se constató que el acceso ilegítimo fue resultado de una acción externa fraudulenta y no de una deficiente actuación de la INSTALFRICA CLIMATIZACIÓN, que contaba con medidas adecuadas a los riesgos previsibles y actuó diligentemente tras el ataque. Por ello, no se apreció incumplimiento de los principios del artículo 5 RGPD ni actuación negligente o dolosa, acordando el archivo de las actuaciones al no acreditarse infracción en materia de protección de datos.

La reclamante interpuso reclamación contra LOSSCHLAGEN S.L. al considerar indebida la inclusión en copia de dos empleados en un correo electrónico remitido por el departamento laboral, en el que se le informaba de la diligencia de embargo de su salario dictada por la AEAT. El correo, acompañado de la diligencia de embargo, fue remitido directamente al reclamante, pero incluyó en copia a dos direcciones de correo electrónico corporativas, lo que el reclamante entendió como una revelación innecesaria de información personal sensible.

Requerida información a LOSSCHLAGEN, reconoció haber recibido la diligencia de embargo y haberla comunicado al reclamante por correo electrónico, cumpliendo con la normativa tributaria, justificando en el presente caso la inclusión en copia de dos empleados: uno encargado de la confección y verificación de nóminas en la zona de Fuerteventura, y responsable de ejecutar la retención; y la otra era la supervisora directa del reclamante en la misma isla, con funciones de coordinación y supervisión de nóminas. LOSSCHLAGEN alegó que ambos desempeñaban funciones que exigían conocer la práctica de la retención y los datos asociados. Aportó además correos electrónicos intercambiados entre el reclamante y ambos empleados, en los que se evidencia su relación laboral y el conocimiento habitual de cuestiones relativas a nóminas, cuadrantes de servicios y otras gestiones vinculadas a la relación laboral. Estos correos acreditan que el reclamante era consciente de la intervención de estas personas en la gestión de aspectos laborales y contables, lo que hacía necesario que tuvieran acceso a dicha información.

Si bien en el acuerdo de inicio se cuestionó la inclusión en copia de la supervisora, al no justificarse suficientemente la necesidad de que conociera los datos personales vinculados al embargo, en alegaciones posteriores, LOSSCHLAGEN aclaró que la supervisora ejercía funciones de coordinación y supervisión de nóminas en la isla donde el reclamante prestaba servicios, lo que sí justificaba su conocimiento de la diligencia de embargo para el adecuado ejercicio de sus responsabilidades. Por ello, a la vista de las manifestaciones y documentación aportada, se concluye que ambos empleados estaban legitimados para conocer la información contenida en el correo electrónico por ser necesaria para el cumplimiento de sus funciones laborales vinculadas a la gestión y supervisión de nóminas; por lo que no puede considerarse que se haya producido una vulneración del deber de confidencialidad en el tratamiento de los datos personales del reclamante, procediendo al archivo de la reclamación.

Mediante Acta Denuncia de la Guardia Civil, se pone de manifiesto que la A.A.A. ha utilizado datos de terceras personas, sin conocimiento ni consentimiento de las mismas, para realizar entregas de material de cobre en distintos establecimientos y así identificarlas como vendedoras de dicho material. La Guardia Civil manifiesta haber recabar información de al menos seis personas distintas, de las que se ha empleado nombre y apellidos y DNI, para la realización de dichas prácticas. Los datos de terceros utilizados obran en poder de A.A.A. por relaciones contractuales previas (venta de animales y vehículo, en dos de los casos), relaciones laborales (ex trabajadores de la empresa que regenta el denunciado en dos casos y persona que contrata sus servicios para realización de una obra, en otro), y en uno de los casos no se ha podido determinar la procedencia de los datos para que obren en poder de A.A.A.

La AEPD procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, indicándose por A.A.A. que “(…) mediante el presente vengo a manifestar que la solicitud de información requerida se encuentra incursa en la tramitación de unas Diligencias Previas que se siguen en el Juzgado de Instrucción ***JUZGADO.1 bajo el número: DILIGENCIAS PREVIAS ***REFERENCIA.1 (…)”.

Analizados los hechos, consta la realización de un tratamiento de datos personales, toda vez que A.A.A. realiza, entre otros tratamientos, la recogida, conservación y utilización de datos personales de personas físicas tales como nombre y apellido y DNI. Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el RGPD u otra norma con rango de Ley, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o a la necesidad de ejecutar un contrato con el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato. A la vista de la documentación obrante en el expediente puede considerarse que se trata de un tratamiento ilícito de datos personales, ya que no consta ninguna causa legitimadora que ampare el uso de los datos personales para la finalidad específica para la que han sido destinados y que no se corresponde con el fin inicial, ajeno a la venta del cobre, para el cual se habrían obtenido los datos, en el contexto de la relación contractual de compraventa, laboral, de servicio o de cualquier otra naturaleza con la denunciada.

Por parte de STRATESYS TECHNOLOGY SOLUTIONS S.L. se notificó a la AEPD una brecha de datos personales relativa al robo de información que comprometió la confidencialidad y disponibilidad de la información tras el ciberataque. La investigación reveló que entre los datos exfiltrados se encontraba información sensible de clientes, entre ellos la Sociedad de Gestión de Activos Procedentes de la Reestructuración Bancaria (SAREB), en cuyo nombre STRATESYS actuaba como encargado del tratamiento. Posteriormente, SAREB notificó a la AEPD la misma brecha, reconociendo que había sido informada por su proveedor. Alegó la ausencia de responsabilidad en los hechos, entre otras cuestiones, por haber suscrito el correspondiente contrato de encargo con STRATESYS, aportando el encargo de tratamiento firmado. Sin embargo, la AEPD recuerda que  los encargados carecen de interés propio y actúan siguiendo las instrucciones del responsable, quien es responsable de los incumplimientos salvo que el encargado decida autónomamente los fines y medios, lo que no ocurrió en este caso. De estos hechos, la AEPD considera acreditada dos infracciones:

- Respecto a la confidencialidad de la información: Existen indicios, de que el atacante tuvo acceso, al menos, a los datos exfiltrados a través de la deepweb. En cuanto a la publicación de los mismos, si bien se afirma que el enlace de descarga no llegó a estar habilitando en ningún momento, lo cierto es que los técnicos de STRATESYS lograron acceder a al menos parte de la información que estaba en poder del atacante. Por ello, no hay dudas de que la confidencialidad de los datos quedó afectada, entre ellos datos sensibles como el DNI. El análisis pericial identificó errores de seguridad que facilitaron el ataque y evidenció que las medidas implantadas eran insuficientes.

- Sobre el encargo de tratamiento aportado: El contrato aportado por SAREB contenía previsiones genéricas sobre seguridad y conservación, sin medidas concretas ni instrucciones precisas. A pesar de haberse previsto las facultades de auditoría, tampoco se acreditó su ejercicio. Los indicios apuntan a que SAREB se limitó a imponer formalmente obligaciones sin supervisar su cumplimiento. En particular, en materia de conservación de datos, el contrato solo prevé la supresión al término de la relación, lo que permitiría al encargado mantenerlos indefinidamente, incluso más allá de los plazos aplicables. Esta práctica contraviene los artículos 5.1.d) y 28 RGPD, que exigen determinar y aplicar plazos de conservación adecuados tanto por el responsable como por el encargado. Esta conducta permite apreciar una negligencia grave en la actuación de SAREB, al no establecer ni supervisar medidas adecuadas ni plazos de conservación claros. Muchos de los datos afectados databan de 2013 y podrían haber sido suprimidos de haberse cumplido correctamente las obligaciones de limitación del plazo y de gestión contractual.

La trabajadora Tamara fue contratada por ENERGÍA ANDALUCÍA ORIENTAL, S.L. como teleoperadora, bajo contrato temporal y en período de prueba. Antes de su incorporación realizó un curso formativo dirigido por Carlos Jesús, quien también intervino en su labor inicial. Durante su corta vinculación, recibió mensajes de WhatsApp de un tercero, Pedro Antonio, amigo del formador Carlos Jesús. Este tercero accedió a su número de teléfono personal sin autorización de la afectada, número que había sido obtenido de los datos que la empresa disponía para fines estrictamente laborales.

La trabajadora no había facilitado su número a Pedro Antonio ni autorizado su cesión. En los mensajes, él mismo reconoció haberlo recibido a través de Carlos Jesús, quien admitió que su amigo accedió a su dispositivo y a la aplicación de mensajería para obtener el contacto. Este hecho constituyó una cesión no consentida de datos personales, que vulnera la normativa de protección de datos al destinarse la información a fines privados, ajenos a la relación laboral. Tras comunicar la incidencia a la empresa, la trabajadora recibió inicialmente apoyo de sus superiores, aunque pocos días después se le notificó la extinción de su contrato en período de prueba, alegándose incumplimientos en su desempeño y contrataciones irregulares. La afectada interpuso demanda por despido, reclamando asimismo una indemnización de 50.000 € por daños morales derivados de la vulneración de sus derechos fundamentales.

Por parte del Juzgado de lo Social se desestimó la nulidad del despido, pero reconoció la existencia de una vulneración del derecho a la intimidad, derivada de la cesión indebida de su número de teléfono. Como consecuencia, condenó a Carlos Jesús al pago de 1.000 €, cuantía que valoró como suficiente atendiendo a la inmediatez de las disculpas, la ausencia de reincidencia y la falta de persistencia de la conducta. La empresa no fue declarada responsable, al no existir indicios de que conociera o tolerara la actuación ilícita, ni de que hubiera participado en la cesión de datos.

La trabajadora recurrió en suplicación, confirmando el TSJ de Andalucía íntegramente la sentencia. Reiteró que la cesión de datos personales para fines ajenos al contrato de trabajo vulnera la normativa vigente (RGPD y LOPDGDD), imponiendo al infractor el deber de respetar la confidencialidad y el principio de limitación de la finalidad. Subrayó que los datos de los trabajadores sólo pueden ser tratados para los fines específicos para los que fueron recabados, y no para fines particulares como el acceso de un tercero. La resolución concluye que la infracción es imputable únicamente al trabajador como responsable directo de la cesión y no a la empresa, que carecía de conocimiento sobre el hecho y actuó sin connivencia; confirmando la indemnización de 1.000 € resulta adecuada como compensación y medida disuasoria frente a la vulneración del derecho a la intimidad de la trabajadora.

El Instituto de Salud Carlos III (ISCIII), en el marco de su misión de investigación y servicios científico- tecnológicos dirigidos al Sistema Nacional de Salud, impulsó el proyecto “CoRIS-QoL”, orientado al estudio de la calidad de vida relacionada con la salud de personas con infección por VIH. Para su ejecución contrató a la empresa ***EMPRESA.2 como encargado del tratamiento, suscribiendo contrato de encargo de tratamiento. No obstante, durante el procedimiento de investigación, el ISCIII notificó a la AEPD una brecha de datos personales derivada de un acceso no autorizado a información confidencial custodiada por el Encargado del tratamiento. Los ficheros exportados contenían datos identificativos y de salud de participantes en el proyecto.

La Agencia tramitó actuaciones previas, con base en las notificaciones del propio responsable, informes periciales y documentación aportada tanto por el ISCIII como por el encargado. La investigación constató que la brecha supuso una pérdida de confidencialidad y que, en el momento del incidente, ***EMPRESA.2 no tenía implantadas determinadas medidas técnicas y organizativas que, con alta probabilidad, habrían evitado o reducido su impacto. Estas medidas se introdujeron únicamente con carácter reactivo, tras la materialización de la brecha, lo que evidencia su ausencia previa y la necesidad de su implantación atendiendo al tipo de datos tratados. El informe pericial y los documentos elaborados por el propio encargado detallan tanto las medidas de seguridad existentes antes del incidente como las nuevas actuaciones implantadas posteriormente: refuerzo de mecanismos de protección frente a accesos indebidos, mejoras en monitorización, control de vulnerabilidades y medidas de reducción de riesgo ante ataques similares. La AEPD destacó que, de haberse aplicado tales medidas de manera preventiva, el acceso no autorizado difícilmente habría tenido éxito.

Si bien la brecha se produjo en los sistemas del encargado del tratamiento, la Agencia recuerda que el responsable del tratamiento es el ISCIII, al ser quien determina los fines y medios del mismo. La imputación de responsabilidades en materia de protección de datos exige analizar la posición de cada sujeto: el encargado debe garantizar la seguridad de los datos según el artículo 32 RGPD, mientras que el responsable mantiene la obligación de velar por la adecuada selección y control de aquel, asumiendo en última instancia las consecuencias del incidente.

En conclusión, la AEPD considera acreditada la existencia de una brecha de datos personales por pérdida de confidencialidad en el proyecto CoRIS-QoL, derivada de deficiencias en las medidas de seguridad de ***EMPRESA.2, introducidas solo tras el ataque. No obstante, subraya que el ISCIII, como responsable del tratamiento, es el sujeto jurídicamente obligado a garantizar la licitud del tratamiento y la protección de los derechos de los afectados.

Tras recibir varias reclamaciones, la AEPD inició procedimiento sancionador contra ENTIDAD DE CONSERVACIÓN TORREMIRONA (ECT), por la instalación de cámaras de videovigilancia que grababan imágenes de vecinos y vía pública, sin autorización administrativa y tras la caducidad de la entidad en 2017. La reclamación, respaldada por diligencia policial, denuncia que las cámaras permiten controlar de manera permanente el tránsito de personas y vehículos, así como el acceso a viviendas, afectando la libertad e intimidad de los vecinos. Se aportaron copia de la denuncia policial, imágenes, contrato de encargo de tratamiento con ***EMPRESA.1, sentencia del TSJ de Cataluña en procedimiento contra la entidad y el Ayuntamiento, así como solicitudes de información y respuestas de la Policía Administrativa. Los reclamantes A.A.A. y B.B.B. manifestaron que la entidad había instalado al menos 14 cámaras que grababan de manera continua, controlando entradas, salidas y tránsito por las calles. ECT contestó indicando que el sistema contaba con 28 cámaras operativas y 12 cámaras ficticias, con cartelería informativa, y que la gestión del tratamiento estaba contratada con empresa especializada. Aclaró que las grabaciones se conservaban hasta 30 días y solo se visualizaban ante incidentes de seguridad. Asimismo, justificó la videovigilancia por la necesidad de proteger las obras y servicios de la urbanización frente a daños, vandalismo o delitos.

Una vez valorada la documentación, se constata que algunas cámaras captaban imágenes de viales públicos y viviendas fuera del perímetro estrictamente privado de la urbanización, obteniendo datos de transeúntes y vehículos ajenos al complejo. Y aunque se reconoce la finalidad de seguridad y disuasión ante actos vandálicos, esta no legitima un control desproporcionado que afecte la libertad individual y la intimidad de terceros. La normativa vigente establece que la instalación de cámaras en la vía pública corresponde únicamente a las Fuerzas y Cuerpos de Seguridad del Estado, quedando excluida la potestad de entidades privadas para controlar espacios de tránsito público.

Asimismo, la cartelería informativa aportada no acredita que se informe de manera efectiva sobre los fines del tratamiento ni del responsable, ni se demuestra la disponibilidad de mecanismos para que los interesados ejerzan sus derechos, incumpliendo el RGPD. La instalación y funcionamiento del sistema, aunque orientado a la protección del inmueble, excede los límites de proporcionalidad exigidos, generando un impacto indebido en la privacidad de los vecinos y transeúntes. En consecuencia, ECT ha efectuado un tratamiento de imágenes que obtiene datos personales de manera desproporcionada respecto a la finalidad declarada, ejerciendo un control excesivo sobre espacio público y privado de terceros.

La reclamante, antigua trabajadora, denunció que en el bar “El Andén M. Rojo, S.L.” existía una cámara de videovigilancia que grababa sonido e imagen, accesible mediante disco duro a través de móvil, permitiendo ver y escuchar conversaciones de clientes y empleados, incluyendo referencias a reclamaciones laborales, lo que según la reclamante derivó en su despido. Aporta carta de despido, fotografías de la cámara y fragmento de vídeo con audio del establecimiento. BAR EL ANDÉN M.ROJO contestó alegando que el local estaba en obras y que el sistema de videovigilancia no funcionaba, aportando declaración responsable y documentación contractual con la empresa instaladora, indicando que la supuesta vigilancia sonora no estaba operativa. Con motivo de las primeras alegaciones, la AEPD emitió propuesta de resolución considerando acreditada la grabación de sonido y la ausencia de cartelería informativa en el interior del establecimiento, proponiendo sanción de 4.000 € por infracción de los artículos 6 y 13 del RGPD. Tras dicho acuerdo, BAR EL ANDÉN M.ROJO alegó que no se probaba que la grabación de sonido hubiera tenido finalidad de control laboral ni que hubiera causado perjuicio al reclamante, explicando que su despido se basó en la comparativa de ingresos generados y vigilancia in situ, entendida como supervisión presencial, no videovigilancia. Sostuvo que la grabación de audio, en caso de haberse producido, podría justificarse por motivos de seguridad, siempre que fuera proporcional y temporal, y que el acceso a audios debía documentarse y justificarse objetivamente.

La AEPD valoró que la cartelería aportada por la reclamada no estaba colocada en el interior del establecimiento ni identificaba al responsable del tratamiento ni los fines de la videovigilancia, y que el vídeo aportado por la reclamante tampoco mostraba señalización informativa. La grabación de sonido constituye tratamiento de datos personales y supone intromisión en la intimidad de clientes y empleados; su justificación no puede presumirse, debiendo cumplir los principios de proporcionalidad y mínima intervención establecidos por el RGPD y la jurisprudencia constitucional. Aunque la videovigilancia con finalidad de seguridad es lícita, la activación del audio requiere justificación documentada, debe ser temporal, y la responsabilidad de su uso ha de acreditarse. Los sistemas instalados deben cumplir la normativa, con cartelería visible y procedimientos internos para informar a empleados sobre el tratamiento de sus datos. No obstante, la imputación inicial de presunta infracción del art. 6 RGPD, no puede ser constatada con las pruebas obtenidas en el actual procedimiento, pero sí que el establecimiento incumplió el artículo 13 del RGPD al no disponer de la cartelería obligatoria, observándose únicamente la placa de la empresa instaladora,.

En consecuencia, además de la multa por infracción del artículo 13 del RGPD, se ordena la colocación de carteles informativos indicando que se trata de zona videovigilada, con fotografía acreditativa de fecha y hora, y la actualización del documento contractual para informar adecuadamente a los empleados sobre la protección de datos.

A raíz de la reclamación interpuesta por Institut per a la cultura democràtica a l’era digital – Associació Conservas, se pone en conocimiento de la AEPD que los datos exigidos para el alta en el censo de actividades económicas de la AEAT (nombre, NIF, dirección, teléfono y correo electrónico), en muchos casos coincidentes con datos personales de los autónomos, son tratados y difundidos por la AEAT, la Cámara de Comercio, CAMERDATA y empresas privadas, llegando incluso a ser accesibles en Internet. Denunció que dichos datos, cedidos inicialmente con fines tributarios y registrales, son reutilizados para finalidades comerciales y de marketing sin la debida información ni consentimiento, excediendo lo permitido por la normativa.

En el presente supuesto, CAMERDATA cedió a INFORMA datos del “Fichero de Empresas Españolas”, incluyendo NIF, direcciones, teléfonos y epígrafes de IAE. El contrato entre ambas reconoce que cada entidad actúa como responsable de sus tratamientos. La AEPD señala que estos datos siguen siendo personales y están sujetos al RGPD, aunque se refieran a actividades profesionales; y el art. 19.2 LOPDGDD solo ampara, mediante presunción de licitud, el tratamiento de datos de contacto de empresarios individuales. Interpretar que todos sus datos pueden tratarse libremente por razón de su condición profesional vaciaría de contenido las garantías del RGPD y supondría una restricción desproporcionada del derecho fundamental a la protección de datos. Por ello, los datos distintos de los meros contactos requieren base de legitimación conforme al art. 6 RGPD. INFORMA invocó el interés legítimo y la presunción del art. 19 LOPDGDD, alegando que los datos procedían de fuentes accesibles. La AEPD descarta esta tesis: los datos derivan de una cesión limitada por la Ley 4/2014, que circunscribe su uso al censo público y electoral y a funciones administrativas de las Cámaras, excluyendo fines comerciales. La explotación posterior de esa información exige una base jurídica autónoma, que no puede descansar en la presunción de interés legítimo cuando existe norma con rango legal que limita expresamente el uso permitido.  Respecto al deber de información,

INFORMA invocó la excepción del art. 14.5.b RGPD por esfuerzo desproporcionado. La AEPD rechaza esta alegación al no haberse documentado dicha ponderación ni adoptado medidas efectivas para informar a los afectados. La mera publicación de una política de privacidad genérica en la web no satisface las exigencias del art. 14, pues no especifica procedencia de los datos, finalidades concretas ni derechos de los interesados.

La Agencia rechaza también la existencia de concurso medial entre las infracciones de los arts. 6 y 14 RGPD. Son obligaciones autónomas: la falta de base jurídica no excluye el deber de informar, ni viceversa. Cada incumplimiento produce un perjuicio propio y justifica sanciones diferenciadas. Tampoco prospera la alegación de confianza legítima: la reiteración de un tratamiento no lo legitima cuando vulnera una norma sectorial clara que limita su uso. La contratación administrativa por parte de la AEPD de productos del sector no valida prácticas ilícitas ni exime del cumplimiento normativo.

Finalmente, la AEPD rechaza que pueda alegarse compatibilidad de finalidades entre el uso público-administrativo previsto en la Ley 4/2014 y el tratamiento mercantil posterior. El primero responde a fines legales públicos y limitados, mientras que el segundo persigue objetivos privados y lucrativos, produciendo una ruptura evidente. El tratamiento de datos como el NIF, coincidente con el DNI de las personas físicas, incrementa el riesgo de suplantación de identidad y vulnera los principios de licitud, minimización y confidencialidad. Por tanto, la AEPD concluye que INFORMA trató datos de empresarios individuales sin base de legitimación válida y sin cumplir el deber de información, no resultando de aplicación ni la presunción del art. 19 LOPDGDD ni la excepción del art. 14.5.b RGPD, por lo que procede sancionar de manera diferenciada las infracciones de los arts. 6 y 14 RGPD.

Con motivo de notificaciones de brecha de seguridad a la AEPD, se constató que, tras un ataque ransomware detectado en octubre de 2022, Marktel sufrió accesos indebidos a sus sistemas, donde se alojaban datos personales tratados en el marco de servicios de recobro. Aunque existía protección antimalware, el ataque no fue contenido, verificándose que los intrusos permanecían en los sistemas desde al menos septiembre de 2022. El 17 de octubre se tuvo constancia de la filtración al publicarse en la Dark Web información procedente de la tabla “Clientes” de la base de datos, con más de un millón de registros y 803.099 DNIs únicos, incluyendo nombre y apellidos, teléfono, email, dirección, fecha de nacimiento y, en 517.326 casos, números de cuenta IBAN sin ofuscar. Marktel notificó a la AEPD dos incidencias, señalando 4.251 afectados y comunicando a estos el 6 de octubre de 2022. Por su parte, SANTANDER CONSUMER notificó a su vez la brecha el 29 de octubre, informando de 28.120 afectados, si bien inicialmente manifestó que no se comunicaría individualmente a los interesados. Tras requerimiento de la AEPD, procedió a notificar en diciembre a más de 123.000 afectados por correo electrónico y SMS. Posteriormente, el 15 de diciembre, Santander actualizó la notificación elevando el número total de afectados a 124.595, con 105.401 casos en los que se expuso el IBAN completo.

El análisis técnico acreditó que hasta noviembre de 2021 los números de cuenta se almacenaban en claro en las bases de datos, siendo ofuscados a partir de esa fecha. Ello explica que entre los registros filtrados coexistieran IBANs ofuscados y en abierto. En cualquier caso, los datos personales no estaban cifrados, facilitando el acceso y difusión indebida. Revisada las relaciones contractuales, se constató que Marktel actuaba como subencargado de Orange Espagne en el servicio de recobro de impagos derivados de la compra de terminales a plazos. Orange, además de responsable de los datos recabados en la venta, actuaba como encargado de Santander Consumer tras la cesión de créditos, encargándole los servicios de facturación, cobro y recobro. Santander Consumer y Orange firmaron en 2015 un contrato de prestación de servicios que regulaba el acceso a datos y las medidas de seguridad, estableciendo únicamente un nivel “medio”. Pese a la notificación de Orange en 2020 de no prorrogar el contrato, se mantuvieron servicios vinculados a créditos cedidos. Orange suscribió posteriormente contrato con Marktel en 2022, regulando el encargo y medidas de seguridad.

La Agencia subraya que Santander Consumer era el responsable del tratamiento de los datos exfiltrados y que las instrucciones dadas a sus encargados resultaban insuficientes conforme al art. 32 RGPD, al limitarse a medidas de “nivel medio” sin atender a los riesgos reales del tratamiento, en especial tratándose de datos identificativos y financieros. Señala que los contratos debieron actualizarse antes del 25 de mayo de 2022, conforme a la disposición transitoria quinta de la LOPDGDD, y que no consta tal renovación.

La brecha afectó a 124.595 clientes de Santander Consumer, con graves riesgos por la pérdida de confidencialidad de datos identificativos y financieros. La AEPD concluye que Santander Consumer vulneró el art. 5.1.f) RGPD, al no garantizar la integridad y confidencialidad de los datos, y recuerda que la protección de datos exige medidas técnicas y organizativas que hagan ininteligible la información en caso de acceso no autorizado, como el cifrado o la seudonimización, cuya ausencia permitió la pérdida total de control sobre los datos y su publicación en la Dark Web.

El reclamante denuncia ante la AEPD la recepción de dos llamadas comerciales en su línea por parte de IBERDROLA, si bien dicha información es matizada por IBERDROLA SA, indicando que ellos no mantienen relación contractual con clientes, actividad llevada a cabo por las comercializadoras, identificando con titular del número de teléfono a IBERDROLA CLIENTES (IBERCLI), manifestación confirmada por el operador de telefonía.

Tras dar traslado a IBERCLI, ésta alegó que disponía del consentimiento del interesado al haberse inscrito en un sorteo promocionado por WEBPILOTS ESPAÑA S.L., aceptando mediante la marcación de una casilla el tratamiento de sus datos con fines comerciales y su cesión a terceros, entre ellos IBERCLI. Aportó certificado de WEBPILOTS y extractos de pantalla del formulario web, señalando además que el número del reclamante no figuraba en la Lista Robinson. Según su versión, el interesado confirmó su participación en el concurso mediante el sistema de doble opt-in. No obstante, al ser requerido, no aportó copia de los correos electrónicos de confirmación que habrían acreditado dicho consentimiento.

La AEPD recuerda que el art. 66.1.b) de la Ley 11/2022 General de Telecomunicaciones reconoce a los usuarios el derecho a no recibir llamadas no deseadas con fines comerciales salvo que exista consentimiento previo. Asimismo, el consentimiento, conforme al art. 4.11 RGPD, debe ser libre, específico, informado e inequívoco, y corresponde a la entidad responsable acreditar su existencia. La jurisprudencia exige que la voluntad del afectado aparezca como evidente, sin margen de duda, no siendo suficiente la mera declaración de la empresa que recaba los datos ni la exhibición de capturas de pantalla. En este caso, la única llamada acreditada fue la realizada por IBERCLI el 10 de julio de 2023 con fines publicitarios, sin que se haya probado la existencia de consentimiento válido del reclamante. La documentación aportada por IBERCLI únicamente demuestra el procedimiento de recogida de datos en la web, pero no que el interesado aceptara de manera inequívoca la cesión y el uso de sus datos para comunicaciones comerciales por parte de la reclamada. La AEPD recuerda que la declaración unilateral de la empresa que recaba los datos, y los extractos de pantalla, o “reflejos informáticos” en terminología utilizada por la jurisprudencia reseñada no son prueba suficiente de que el reclamante diera su consentimiento.

Por parte de el Sindicato ALTERNATIVA FERROVIARIA ALFERRO se presentó reclamación ante la AEPD por la implantación, desde enero de 2024, de un sistema de control de jornada en Renfe Ingeniería y Mantenimiento SME, S.A., consistente en el uso de la tarjeta corporativa junto con la captura de una fotografía en el momento del fichaje. Alegaba que la medida podía vulnerar derechos de los empleados, aun cuando les habían informado al respecto, dado que no se había recabado su consentimiento y no existía alternativa a la obligación de fotografiarse.

Por su parte, RENFE explicó que el sistema sustituye al anterior, basado en tarjeta y huella dactilar, tras la publicación por la AEPD de su Guía sobre tratamientos biométricos. El nuevo mecanismo distingue entre personal de oficinas centrales, donde solo se utiliza la tarjeta, y personal de las bases de mantenimiento (unos 2.800 trabajadores en 40 centros), donde se combina tarjeta y fotografía con la finalidad de registrar la jornada y prevenir fraudes derivados de fichajes indebidos detectados en el pasado. La fotografía se toma de forma automática al pasar la tarjeta y queda almacenada en la aplicación de control horario, accesible por el propio trabajador. Su conservación es de seis meses, tras lo cual se elimina.

RENFE precisa que no se trata de un sistema de reconocimiento facial ni de datos biométricos, pues no se generan plantillas ni patrones, ni se aplica tratamiento técnico automatizado alguno. En caso de sospecha de fraude, el personal de Recursos Humanos compara manualmente la fotografía captada con la existente en la ficha del empleado. Por tanto, no existe autenticación unívoca mediante medios técnicos ni tratamiento automatizado de categorías especiales de datos. Respecto a la legitimación, RENFE indicó que el registro de jornada se fundamenta en el cumplimiento de la obligación legal del art. 34.9 del Estatuto de los Trabajadores, y la finalidad de control en el art. 20.3 del mismo texto legal, que faculta al empresario para adoptar medidas de vigilancia y control. El consentimiento del trabajador no se recaba al no ser necesario.

Asimismo, se acreditó que la entidad ha informado a los empleados mediante carteles visibles junto a los dispositivos, políticas de privacidad específicas y guías de uso, indicando finalidad, bases jurídicas, conservación de datos, contacto del Delegado de Protección de Datos y posibilidad de reclamar ante la AEPD. Además, se aportaron análisis de riesgos y un estudio de necesidad y proporcionalidad que concluyen riesgo bajo y ausencia de necesidad de evaluación de impacto, al no tratarse de datos biométricos. Asimismo, se valoraron y descartaron métodos alternativos como hojas de firmas, reconocimiento facial, huella dactilar o controles manuales, por considerarse más invasivos o menos eficaces.

Examinada la documentación, la AEPD concluyó que la toma de fotografías en el fichaje no constituye tratamiento biométrico ni vulnera los principios del art. 5 RGPD, al no realizarse reconocimiento facial ni identificación unívoca automatizada, tratándose de una medida necesaria y proporcional para fines legítimos de control laboral. En consecuencia, no se aprecia infracción en el ámbito competencial de la Agencia, acordándose el archivo de las actuaciones.