La Agencia Española de Protección de Datos (“AEPD”) ha publicado, como viene siendo habitual en los últimos meses, una nueva resolución por infracción del Reglamento General de Protección de Datos 2016/679 (“RGPD”), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»). En concreto, se ha impuesto una sanción de 60.000 euros a Viaqua, una empresa de gestión de aguas de Galicia, por la modificación (por un tercero) de los datos de un cliente sin su consentimiento.
Ya hemos visto que, junto a la vulneración de las medidas técnicas y organizativas adecuadas, y el adecuado ejercicio de derechos, el consentimiento es uno de los fundamentos de la actual normativa de Protección de Datos. Es más, lejos de lo que muchas personas piensan, el consentimiento es uno de los puntos del RGPD y de la LOPDGDD que más problemas presenta, tanto por no producirse (no firmar la documentación oportuna), como por llevar a cabo prácticas que de consentimiento tácito que no tienen validez alguna (se exige consentimiento informado y expreso).
HECHOS
Los hechos parten de la reclamación de una clienta de Viaqua (propietaria), la cual alega que se ha procedido a cambiar los datos que figuraban en su contrato, sin su autorización ni conocimiento.
Al parecer, el 17 de diciembre del año 2017, mediante llamada telefónica, fueron modificados los datos de la inquilina (cuenta bancaria) por parte de un usuario que afirmó ser inquilino del inmueble (se aporta grabación donde un tercero se identifica con un nombre y apellidos ajenos al inquilino de la vivienda). Hasta ese cambio de cuenta, «los recibos del inmueble propiedad de la reclamante se cargaban con total normalidad en una cuenta bancaria que no era de su titularidad, y que aparecía identificada como perteneciente una inquilina de la vivienda cuyos datos eran tratados en calidad de beneficiaria/ contribuyente, siendo titular del contrato, propietaria del inmueble y responsable subsidiaria la reclamante.»
La reclamante alega que este cambio se llevó a cabo sin su consentimiento. No obstante, la reclamada (Viaqua), insiste en que los cambios realizados eran relativos a los datos personales de la beneficiaria del suministro, y no a los de la propietaria en cuestión.
Viaqua manifestó que “ha actuado en todo momento en cumplimiento de la normativa de protección de datos vigente y de las ordenanzas municipales que regulan el servicio de suministro de agua en el Concello de Poio«. De hecho, el artículo 3 de esta ordenanza dispone que el titular de los contratos de suministro debe ser siempre el propietario del inmueble, sin que resulte posible que los inquilinos de una vivienda contraten por sí mismos dicho suministro. Aunque se admite, sin embargo, que una persona distinta del titular del contrato figure como pagador (como puede ser el inquilino del inmueble).
La entidad reclamada considera que la reclamante, como propietaria del inmueble, responde en calidad de sujeto pasivo sustituto en caso de impago de su inquilino. De este modo, en su caso, podría tratar los datos de la reclamante con el fin de exigir el pago una deuda correspondiente a su inquilino (gestión de tasas; artículo 33 de la Ley 58/2003, de 17 de diciembre, General Tributaria).
La AEPD señala que, aunque la ordenanza es vigente respecto de los argumentos expuestos, si ponemos en relación dicha ordenanza con el RGPD, prevalece la normativa comunitaria sobe la local, según el principio de primacía del derecho de la Unión Europea (véanse sentencias del TJUE, como Van Gend & Loos, Simmenthal, o la sentencia Costa-ENEL, las cuales declaran que derecho comunitario es un verdadero ordenamiento jurídico).
INFRACCIÓN COMETIDA
Los hechos descritos se enmarcan dentro una infracción del artículo 6 del RGPD, tipificada en el artículo 83.5 del mismo cuerpo legal.
La AEPD tiene en cuenta como agravantes:
- El propósito del tratamiento [la entidad sancionada requiere a la reclamante el pago de una deuda que no es suya; artículo 83.2 a)del RGPD].
- Negligencia en la infración [la entidad reclamada alega a la AEPD licitud en la reclamación; artículo 83.2 b) del RGPD].
- No se han adoptado medidas correctoras [la entidad reclamada no informa a la AEPD, ni sobre las medidas adoptadas, ni sobre las actuaciones en el caso de la reclamante; artículo 83.2 c)del RGPD].
SANCIÓN
Se impone a VIAQUA XESTIÓN INTEGRAL DE AUGAS DE GALICIA, S.A. una multa de 60.000 euros por vulneración de los artículos anteriormente mencionados.
******************************************
LICITUD DEL TRATAMIENTO (CONSENTIMIENTO)
Artículo 6 RGPD:
«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. […]»
CONDICIONES PARA LA IMPOSICIÓN DE MULTAS ADMINISTRATIVAS
Artículo 83.5 letra a) RGPD:
«5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…) a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; […].»
******************************************
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00233/2019
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).
