Obligación de informar. Una empresa de cerrajería debe pagar 900 euros por no incluir una Política de Privacidad actualizada en su formulario web.

Resulta habitual que cualquier empresa o particular cuente con un formulario de contacto en su blog o página web. La mayor parte de las veces esta herramienta es entendida como un mero medio para el contacto, cuando lo que realmente se está produciendo es un verdadero tratamiento de datos. Por ello, no cumplir con las actuales exigencias en materia de Protección de Datos puede llevarnos a un proceso administrativo que finalice con sanción.

En este punto, para cumplir con la legalidad vigente hay que poner el foco en dos elementos esenciales. El primero es el consentimiento (expreso, que no tácito), el cual se constituye como el elemento central de cualquier tratamiento da datos personales. Pero este ha de ir acompañado de una segunda exigencia fundamental, como es una adecuada Política de Privacidad (sobre la cual se consiente), donde se exponga claramente quién es el Responsable del Tratamiento; la base jurídica de este; la finalidad del mismo, la posibilidad de ejercicio de derechos…

HECHOS

El Instituto Municipal de Consumo de Madrid interpuso una reclamación contra CERRAJERO ONLINE, S.L. por recoger datos personales en un formulario web sin facilitar a los interesados la información necesaria conforme a la actual normativa en Protección de Datos. El reclamado, se argumenta, debía haber dado cumplimiento al artículo 13 del Reglamento General de Protección de Datos 2016/679 (“RGPD”), ya que fundamentaba el tratamiento de datos en la legislación de 1999. Se recuerda que el artículo 13 del RGPD ha desplazado al artículo 5 de la Ley Orgánica 15/1999, de 13 dediciembre, de Protección de Datos de Carácter Personal, por lo que la referencia a la legislación anterior no permite al usuario conocer íntegramente sus derechos actuales.

INFRACCIÓN COMETIDA

La Agencia Española de Protección de Datos (“AEPD”) enmarca los hechos dentro de una vulneración del artículo 13 del RGPD (en relación con el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; “LOPDGDD”).

SANCIÓN

Se impone una sanción a CERRAJERO ONLINE, S.L. de 1500 euros que, al reconocer su responsabilidad dentro del plazo otorgado para la formulación de alegaciones al acuerdo de inicio; lleva aparejada una reducción de un 20% del total de la multa (artículo 85 de la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas). Por tanto, la sanción quedaría establecida en 1200 euros, aunque se puede acumular otra reducción de un 20% del importe por pago voluntario con anterioridad a la resolución del procedimiento (respecto de la sanción propuesta). De este modo, CERRAJERO ONLINE, S.L. hizo un abono final de 900 euros, al beneficiarse de estas reducciones.

****************************************** 

INFORMACIÓN A FACILITAR CUANDO LOS DATOS PERSONALES SE OBTENGAN DEL INTERESADO

Artículo 11 LOPDGDD:

1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

2. La información básica a la que se refiere el apartado anterior deberá contener, al menos: a) La identidad del responsable del tratamiento y de su representante, en su caso; b) La finalidad del tratamiento; c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.

Artículo 13 RGPD:

1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del  tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a)  la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los  criterios utilizados para determinar este plazo;

b) la existencia del derecho a  solicitar al  responsable del  tratamiento el  acceso a  los  datos  personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del  derecho a  retirar el  consentimiento en cualquier momento, sin  que  ello  afecte  a  la  licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al  menos en tales casos, información significativa sobre  la  lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

4. Las disposiciones de los apartados 1, 2 y 3 no serán  aplicables cuando y en la  medida en  que  el  interesado ya disponga de la información.” 

CONDICIONES PARA LA IMPOSICIÓN DE MULTAS ADMINISTRATIVAS

Artículo 74 letra a) LOPDGDD:

Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular las siguientes: a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679.”

Artículo 83.5 letra b) RGPD:

“5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas adminis­trativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…) b)  los derechos de los interesados a tenor de los artículos 12 a 22; […].”

****************************************** 

RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00266/2019

Legislación vigente:

– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].

– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).