30 junio 2023
La Agencia Española de Protección de Datos ha sancionado a la empresa QUALITY-PROVIDER, S.A. con 20.000 euros de multa, por no cumplir de forma reiterada con la solicitud del ejercicio del derecho a la supresión de datos personales llevada a cabo por el interesado.
Tras analizar las alegaciones vertidas por ambas partes, así como los preceptos legales correspondientes, la AEPD consideró la conducta de la reclamada constitutiva de infracción de los artículos 6 y 17 del Reglamento Europeo de Protección de Datos, ya que ni siquiera comunicó al reclamante la obtención de sus datos, desatendiendo posteriormente su solicitud de borrado de los datos reiteradamente.
Como hemos destacado en numerosas ocasiones, los derechos de los interesados y la forma de ejercitarlos deben quedar muy bien definidos. Sin embargo, el deber de información no pone fin a las tareas que, como responsables del tratamiento, podemos tener en este aspecto.
El deber de informar y todo lo que, además, conlleva
Efectivamente, el deber de información exige a los responsables del tratamiento facilitar la información relacionada con el tratamiento de los datos, de forma previa a su recogida, de un modo claro, sencillo y accesible.
Sin embargo, no es suficiente con informar a los interesados, sino que debemos llevar a cabo acciones que permitan convertir lo transmitido en una realidad. Y esto implica -entre otras cosas-, atender las solicitudes que los interesados puedan trasladarnos, en relación con el ejercicio de los derechos que les asisten como titulares de los datos personales tratados.
El caso QUALITY-PROVIDER, S.A.: sanción por vulnerar los artículos 6 y 17 del RGPD
La importancia de esta obligación vuelve a ponerse de manifiesto a través de la reciente resolución de la Agencia Española de Protección de Datos (AEPD), quien, a través del correspondiente expediente sancionador, ha multado a la sociedad QUALITY-PROVIDER, S.A. con veinte mil (20,000) euros por desatender de forma reiterada una solicitud de ejercicio del derecho de supresión de datos personales. Acompañamos, a continuación, un link a dicha resolución.
Los antecedentes del mencionado expediente arrancan con una llamada recibida por el reclamante, efectuada por una inmobiliaria, que había obtenido sus datos de la entidad INGLOBAL Y, cuyo nombre de dominio pertenece a QUALITY PROVIDER, y a la que inmediatamente se dirigió el reclamante, para que los eliminase. En la denuncia, el interesado indicó no haber otorgado sus datos ni el consentimiento para su publicación, por lo que solicitaba su retirada.
Desafortunadamente, la supresión no fue tramitada al no aportar el reclamante la copia del DNI que le solicitaron. Este es el principal argumento esbozado por la reclamada para justificar su conducta: que, al tratarse de una denuncia anónima, no pudieron contactar con el denunciante ni identificar los datos cuya supresión se interesaba.
Asimismo, la parte reclamada consideró que la AEPD no tenía competencia para conocer de dicho procedimiento, al amparo de la Directiva Europea 2019/1937, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
Por último, la reclamada puso de manifiesto que los datos fueron obtenidos de TELEFÓNICA y de un modo lícito, a través de fuentes accesibles al público.
Tras la práctica de las oportunas actuaciones, la Agencia dictó propuesta de resolución, en fecha 17 de enero de 2023, proponiendo la sanción a la entidad reclamada por infracción de los artículos 6 y 17 del RGPD, en concordancia con su artículo 83.5 y, estableciendo una multa de 20.000 euros.
La Resolución de la AEPD al detalle
Los Fundamentos de Derecho ilustrados por la Agencia fueron los siguientes:
1) Sobre su incompetencia para tramitar y resolver el expediente sancionador: en virtud de lo establecido en el artículo 58.2 RGPD, así como en los artículos 47, 48.1, 64.2 y 68.1 LOPDGDD, es competente para iniciar y resolver dicho procedimiento la Directora de la Agencia Española de Protección de Datos.
De hecho, la reclamada invoca en su alegación de incompetencia la Directiva Europea 2019/1937, la cual ha sido transpuesta al Ordenamiento Jurídico Español a través de la nueva Ley 2/2023, de 20 de febrero, y que no ha supuesto en absoluto que la AEPD haya dejado de ser la autoridad de control independiente para supervisar la aplicación del RGPD.
2) En relación con la licitud del tratamiento de datos llevado a cabo por la reclamada, existe una vulneración del artículo 6 RGPD, al no concurrir ninguna de las condiciones de licitud establecidas en dicho artículo, habiendo cometido la reclamada una infracción muy grave, de acuerdo con el artículo 72.1 b) LOPDGDD.
Y es que, a pesar de encontrarse la reclamada acreditada para tratar los datos del reclamante, no ha probado tener base legitimadora alguna para ello, ni ha realizado la ponderación necesaria para que el tratamiento pudiera basarse en el interés legítimo.
3) Por otra parte, la AEPD apreció una vulneración del artículo 17.1 d) RGPD, al no atender la solicitud de supresión de los datos sin dilación indebida, -datos cuyo tratamiento se estaba llevando a cabo sin consentimiento del interesado-.
Esta infracción, al igual que la del artículo 6, tiene la consideración de muy grave, al amparo del 72.1 k) LOPDGDD, puesto que se trata de la falta de atención reiterada del ejercicio de un derecho.
4) Sobre la imposibilidad de la reclamada para dar curso a la supresión de los datos por tratarse de una denuncia anónima: la Agencia invoca las Directrices 01/2022 sobre los derechos de los interesados, especialmente en lo relativo a la pertinencia, adecuación y proporcionalidad de los medios de autenticación aplicados por el responsable.
En este sentido, la exigencia de un documento de identidad para la autenticación del interesado supone un riesgo para la seguridad de los datos personales, pudiendo suponer un tratamiento ilícito.
Por lo tanto, la reclamada, al no justificar que su petición de DNI a la reclamante era proporcionada, esta resulta excesiva y obstaculiza el ejercicio del derecho de supresión.
Posteriormente, una vez presentada la solicitud de supresión de los datos, por parte del interesado, debió proceder a la tramitación de dicha denuncia sin dilación indebida, al no contar con una base jurídica legitimadora del tratamiento que estaba llevando a cabo de los datos en cuestión.
En conclusión…
Como responsables del tratamiento de datos personales, nuestra tarea de atender las solicitudes de ejercicio de los derechos presentadas por los interesados es fundamental. La inobservancia de los derechos de los interesados continúa teniendo consecuencias para los responsables del tratamiento.
Esta reciente sanción no hace sino ilustrar nuevamente la importancia de informar a los interesados sobre el tratamiento que llevemos a cabo y, en todo caso, de tomar las medidas necesarias para toda esa información sea una realidad efectiva y no simplemente literatura.
Comentarios
No hay comentarios