Ahora bien, el hecho de no haberse producido cambios normativos no significa que no hayamos tenido novedades. Efectivamente, a partir de muchas resoluciones e informes de la Agencia Española de Protección de Datos (AEPD) y de algunas Audiencias Provinciales, hemos acumulado una importante doctrina interpretativa sobre diversas cuestiones importantes en ...
Ahora bien, el hecho de no haberse producido cambios normativos no significa que no hayamos tenido novedades. Efectivamente, a partir de muchas resoluciones e informes de la Agencia Española de Protección de Datos (AEPD) y de algunas Audiencias Provinciales, hemos acumulado una importante doctrina interpretativa sobre diversas cuestiones importantes en el campo de la Protección de Datos, que antes no habían sido analizadas en todo su alcance o, simplemente, de las que desconocíamos la interpretación sobre las mismas de la Autoridad de Control y, por lo tanto, teníamos que ser los operadores jurídicos los que interpretáramos las normas caso por caso, con el riesgo que ello supone.
En otro aspecto en el que ha destacado la Protección de Datos en lo que llevamos de año es en el de las sanciones por incumplimiento de la normativa. Entre los meses de enero y mayo de 2021, la AEPD ha impuesto sanciones por valor de más de 23 millones de euros (según datos obtenidos en el propio portal web de la Agencia), lo que supone que España ya se acerca a Alemania, Italia o Francia en volumen de sanciones (hasta ahora estábamos muy lejos de estos países), y que el importe de las sanciones ha aumentado un 500% en lo que va de año respecto a los 3 años anteriores.
Viendo todo esto, y las sanciones millonarias impuestas a empresas como Vodafone, Equifax, Air Europa y varias entidades financieras (y dejando de lado procedimientos todavía en curso, como el de Mercadona), es fácil adivinar que el importe de las sanciones impuestas por la AEPD irá in crescendo.
En este informe, haremos un pequeño resumen de algunas de las resoluciones más interesantes que se han publicado este año, que nos ayudarán a interpretar mejor el alcance de los derechos y de las obligaciones que impone la normativa de Protección de Datos, en aspectos tan importantes y cotidianos como son la videovigilancia, la política web de cookies, el derecho a la intimidad o el acceso a las historias clínicas de los/las pacientes.
ACCESO A LA HISTORIA CLÍNICA DEL PACIENTE
(PS/00250/2021)
Sanción de apercibimiento al Servicio Extremeño de Salud (SES).
Por el acceso a la historia clínica de un paciente por parte de una enfermera, en diversas ocasiones, sin legitimación constatada. Según la AEPD, faltaron medidas de seguridad: registrar los perfiles de acceso, hacer un Análisis de Riesgos, o establecer medidas de seguridad técnicas y organizativas adecuadas al tratamiento de datos de categoría especial.
En el dictamen, emitido a petición del Centro Sanitario, la ACPD considera que la madre puede acceder a la historia clínica de su hija menor de edad y mayor de 14 años (la hija tenía 16 años), cuando el acceso se debe a motivos legítimos concretados en los deberes que impone la potestad parental.
El Centro Sanitario debe valorar las causas y la legitimidad de la madre, caso por caso.
DATOS DE SALUD EN LAS RELACIONES LABORALES
(Procedimiento inspector E/06828/2020)
Se desestima recurso de reposición interpuesto por un particular contra la falta de sanción a la empresa.
El trabajador aportó los datos relativos a su salud, como consecuencia de una baja médica, a los Servicios Médicos de la empresa, que lo despidió. Según la AEPD, la empresa tiene el derecho a tratar esos datos personales, en cumplimiento de la normativa de Riesgos Laborales.
BRECHAS DE SEGURIDAD
(Procedimiento EJ04070/2021)
No se sanciona a una clínica de salud de Pontevedra, que sufrió una brecha de seguridad consistente en un virus informático descargado al abrir un correo electrónico infectado.
La AEPD considera que la empresa actuó bien: notificó la brecha de seguridad, informó al personal, y posteriormente realizó formaciones específicas a los empleados/as para intentar evitar que volviera a suceder en el futuro.
CÁMARAS DE VIDEOVIGILANCIA
(Procedimiento Sancionador PS/00156/2020)
Sanción de 3.000 euros a Comunidad de Propietarios.
La Comunidad de Propietarios tenía un sistema de videovigilancia en funcionamiento, pero:
Por lo tanto, se vulneraban los principios de necesidad, proporcionalidad, idoneidad e información.
DATOS BIOMÉTRICOS
(Informe 47/2021 AEPD)
Los datos biométricos, como son el reconocimiento facial, solamente tendrán la consideración de datos de categoría especial cuando se sometan a un tratamiento técnico cuya finalidad sea la identificación unívoca de la persona ("uno-a-varios"), pero no cuando la finalidad de su tratamiento sea la simple verificación o autenticación de una persona concreta sin compararla o cotejarla con otros ("uno-a-uno").
ENVIO DE PUBLICIDAD COMERCIAL
(PS/00259/2020)
Sanción de 50.000 euros a CaixaBank (antigua Bankia, S.A.).
Por el envío de publicidad comercial por correo postal a un cliente que, previamente, había ejercido el derecho de oposición al tratamiento con fines publicitarios 2 años antes.
PUBLICACIÓN DE DATOS O IMÁGENES EN INTERNET O REDES SOCIALES
Sanción de 1.500 euros a un particular.
Por la publicación de imágenes de alto contenido sexual en la página web, a pesar de haber firmado un contrato con la reclamante en la que ésta autorizaba a dicha publicación (según la AEPD, el contrato no es válido puesto que la publicación de las imágenes atenta contra la dignidad personal y no es susceptible de pacto contractual en contra).
Sanción de 6.000 euros a un particular.
Por la difusión de imágenes de una supuesta víctima de violencia de género en las redes sociales. La AEPD considera que no existe legitimación para publicar dichas fotos de la víctima y de un menor que la intentó ayudar, a pesar de que el reclamado manifestó que la publicación de las imágenes tenía como intención sensibilizar a la población de este problema social.
Multa de 3.000 euros a una particular.
Por la publicación de una sentencia favorable en las redes sociales, difundiendo los datos de la parte condenada (ahora recurrente), también datos íntimos.
El derecho a la libertad de expresión no prevalece sobre el derecho a la intimidad.
Multa de 3.000 euros para uno de los progenitores.
La difusión de imágenes de menores de edad en redes sociales debe contar con el consentimiento de ambos progenitores y, en caso de desacuerdo, con la autorización judicial.
La libertad de expresión del padre no puede vulnerar el derecho a la intimidad y a la propia imagen del/de la menor.
LLAMADAS COMERCIALES NO DESEADAS
(PS/00258/2020)
Sanción de 12.000 euros a empresa comercializadora de energía.
Por efectuar llamadas comerciales no deseadas a través de un agente comercial externo.
El reclamante estaba inscrito en la Lista Robinson (parece ser que la empresa no lo comprobó o hizo caso omiso de la inscripción del reclamante en la lista), y además ejerció el derecho de oposición al tratamiento de sus datos para esas finalidades de forma oral.
Además, la AEPD considera que el hecho de que el agente comercial que comercializa el producto y, por tanto, efectúa las llamadas, sea externo, no elimina la consideración de Responsable del Tratamiento a la empresa, puesto que ésta sigue siendo la que determina los fines del tratamiento.
COOKIES EN LA PÁGINA WEB
(PS/00118/2021)
Sanción de 2.000 euros (1.600 por pago voluntario) a una empresa de radio.
Por no permitir la no aceptación de las cookies no necesarias en su página web y, en concreto, en el banner de cookies que debería salir en la página de inicio cuando un usuario se conecta a la web.
FICHEROS DE INFORMACIÓN CREDITÍCIA (MOROSOS)
(PS/00140/2021)
Sanción de 20.000 euros (reducidos por pago voluntario) a una empresa de formación a distancia.
Por la ilicitud del tratamiento y la falta de legitimación del mismo, al incluir en un fichero de información crediticia al reclamante, cuando éste había solicitado previamente la resolución de la controversia mediante un procedimiento arbitral.
Por lo tanto, no se cumplía el requisito para incluir a un moroso en el fichero ya que: (1) la deuda no era vencida, (2) no era líquida, y (3) todavía no era exigible.
Insistimos, hay muchos más procedimientos sancionadores tramitados por la AEPD durante estos últimos meses, algunos de ellos resueltos con importantísimas sanciones a grandes empresas, pero con este pequeño resumen ya podremos hacernos a la idea de la importancia de cumplir con todos los aspectos relacionados con la Protección de Datos.
