Las asociaciones son un instrumento jurídico muy común, utilizadas por la sociedad para organizarse en torno a iniciativas culturales, políticas, profesionales… Una herramienta de organización, pues, que implica el desarrollo de actividades en las que se manejan datos personales.
Publicidad; inscripciones; datos de contacto; de pago… procedimientos de todo tipo que deben contener las garantías y derechos adecuados.
Responsabilidad, por tanto, que la junta directiva, así como los diferentes miembros de la asociación deben contemplar.
HECHOS
El Colegio Oficial de Médicos de Madrid («el reclamante»; «ICOEM») interpone, con fecha de 14/08/2019, reclamación ante la Agencia Española de Protección de Datos (“AEPD”).
Los motivos en los que se basa la reclamación son los siguientes:
- Que la Asociación (sindical) de Médicos Demócratas («el reclamado»; «AMED») solicitó al reclamante, a fecha de 17/01/2017, copia de la base de datos de los colegiados, y que dicha solicitud fue desestimada.
- Que, con anterior, en el marco del procedimiento A/00068/2018, el reclamado ya ha sido apercibido por tratar datos de colegiados sin su consentimiento; manteniendo, con posterioridad, el envío de comunicaciones publicitarias a correos electrónicos.
La AMED respondió a esta reclamación el 07/05/2019, alegando que su actividad se realiza al margen de la actividad colegial, y que la AMED es una asociación sindical de promoción de la colegiación y ejercicio profesional. Alude, además, a que la Sentencia del Tribunal Supremo 281/2015 reconoce el derecho de un sindicato a transmitir noticias de interés general a afiliados y trabajadores.
Asimismo, se niega cualquier tipo de acción publicitaria a los colegiados. Se afirma, que el origen de la base de datos de los colegiados ha sido generada gracias a los datos facilitados por los propios interesados, verbalmente (que no expresamente), y de forma libre e inequívoca.
No obstante, diferentes profesionales médicos alegan haber sufrido el envío de hasta diecisiete correos electrónicos por parte de la AMED, sin que exista consentimiento alguno en el que pueda ampararse dicha actuación.
INFRACCIÓN COMETIDA
Los hechos descritos se enmarcan dentro una infracción del artículo 6.1 letra a) del Reglamento General de Protección de Datos 2016/679 (“RGPD”), tipificada en el artículo 83.5 del mismo cuerpo legal, y calificada como muy grave en el artículo 72.1 letra b) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»).
La AEPD tiene en cuenta, a la hora de llevar a cabo una valoración inicial de la sanción, los siguientes factores:
- El tratamiento no tiene un alcance meramente local.
- Numerosos colegiados se han visto afectados por la conducta infractora.
- El reclamado ya había sido apercibido con anterioridad.
SANCIÓN
Se impone a ASOCIACIÓN DE MÉDICOS DEMÓCRATAS una multa de 10.000 euros por vulneración de los artículos anteriormente mencionados.
******************************************
LICITUD DEL TRATAMIENTO (CONSENTIMIENTO)
Artículo 6 RGPD:
«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; […].»
CONDICIONES PARA LA IMPOSICIÓN DE MULTAS ADMINISTRATIVAS
Artículo 83.5 letra a) RGPD:
«5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…) a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; […].»
INFRACCIONES CONSIDERADAS COMO MUY GRAVES
Artículo 72.1 letra b) LOPDGDD:
«1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes: (…) b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679; […].»
******************************************
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00231/2019
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).