Resulta
habitual que cualquier empresa o particular cuente con un formulario de
contacto en su blog o página web. La mayor parte de las veces esta
herramienta es entendida como un mero medio para el contacto, cuando lo
que realmente se está produciendo es un verdadero tratamiento de datos.
Por ello, no cumplir con las actuales exigencias en materia de
Protección de Datos puede llevarnos a un proceso administrativo que
finalice con sanción.
En este
punto, para cumplir con la legalidad vigente hay que poner el foco en
dos elementos esenciales. El primero es el consentimiento (expreso, que
no tácito), el cual se constituye como el elemento central de cualquier
tratamiento da datos personales. Pero este ha de ir acompañado de una
segunda exigencia fundamental, como es una adecuada Política de
Privacidad (sobre la cual se consiente), donde se exponga claramente
quién es el Responsable del Tratamiento; la base jurídica de este; la
finalidad del mismo, la posibilidad de ejercicio de derechos…
HECHOS
El Instituto Municipal de Consumo de Madrid interpuso una reclamación contra CERRAJERO ONLINE, S.L. por recoger datos personales en un formulario web sin facilitar a los interesados la información necesaria conforme a la actual normativa en Protección de Datos. El reclamado, se argumenta, debía haber dado cumplimiento al artículo 13 del Reglamento General de Protección de Datos 2016/679 («RGPD»), ya que fundamentaba el tratamiento de datos en la legislación de 1999. Se recuerda que el artículo 13 del RGPD ha desplazado al artículo 5 de la Ley Orgánica 15/1999, de 13 dediciembre, de Protección de Datos de Carácter Personal, por lo que la referencia a la legislación anterior no permite al usuario conocer íntegramente sus derechos actuales.
INFRACCIÓN COMETIDA
La Agencia Española de Protección de Datos («AEPD») enmarca los hechos dentro de una vulneración del artículo 13 del RGPD
(en relación con el artículo 11 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos
digitales; «LOPDGDD»).
SANCIÓN
Se impone una sanción a CERRAJERO ONLINE, S.L. de 1500 euros que, al reconocer su responsabilidad dentro del plazo otorgado para la formulación de alegaciones al acuerdo de inicio; lleva aparejada una reducción de un 20% del total de la multa (artículo 85 de la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas). Por tanto, la sanción quedaría establecida en 1200 euros, aunque se puede acumular otra reducción de un 20% del importe por pago voluntario con anterioridad a la resolución del procedimiento (respecto de la sanción propuesta). De este modo, CERRAJERO ONLINE, S.L. hizo un abono final de 900 euros, al beneficiarse de estas reducciones.
******************************************
INFORMACIÓN A FACILITAR CUANDO LOS DATOS PERSONALES SE OBTENGAN DEL INTERESADO
Artículo 11 LOPDGDD:
«1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos: a) La identidad del responsable del tratamiento y de su representante, en su caso; b) La finalidad del tratamiento; c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.”
Artículo 13 RGPD:
«1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4. Las
disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y
en la medida en que el interesado ya disponga de la información.»
CONDICIONES PARA LA IMPOSICIÓN DE MULTAS ADMINISTRATIVAS
Artículo 74 letra a) LOPDGDD:
«Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular las siguientes: a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679.»
Artículo 83.5 letra b) RGPD:
«5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…) b) los derechos de los interesados a tenor de los artículos 12 a 22; […].»
En nuestras sedes de Santiago de Compostela y Vigo, desde AYS Innova te podemos asesorar de manera presencial en todo lo relativo a la protección de datos de carácter personal.
******************************************
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00266/2019
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).