Si comparamos la actividad sancionadora de las autoridades de control europeas con la de la Agencia Española de Protección de Datos (ver nuestro anterior artículo – Aplicación del RGPD a nivel europeo. Sanciones impuestas: Europa, parte 1) observamos que en sede nacional no se han impuesto sanciones tan elevadas a nivel económico.
Sin embargo, su actividad no ha dejado de ser constante desde la entrada en vigor del Reglamento, tanto en la elaboración de guías y circulares, como en la realización de actuaciones previas de inspección y tramitación de procedimientos sancionadores resueltos con imposición de multa. Una pequeña selección de las más destacadas son las siguientes:
La AEPD impuso esta multa a LaLiga por un motivo esencial: La aplicación móvil de LaLiga podía activar la geolocalización y el micrófono del smartphone de un muestreo de sus usuarios y espiar así el ambiente para detectar emisiones ilegales de partidos de fútbol en los bares.
LaLiga explicó un año atrás en nota de prensa que la aplicación (que en aquel momento estaba en desarrollo) iba a incorporar esa funcionalidad, sin embargo, en su puesta en práctica no aplicaron las medidas exigidas por el RGPD, tales como la prestación del consentimiento expreso y el aviso a los usuarios de cuando se activan las grabaciones de micrófono. El centro de la controversia radica en que la aplicación no realiza una grabación stricto sensu, sino la captación de un código binario (un audio alterado).
¿Recoge o no esta tecnología datos de carácter personal? Es lo que tendrá que dilucidarse en sede judicial en el futuro, puesto que la organización ya informó de que recurrirá la resolución.
La AEPD impuso a la cadena de supermercados Eroski la sanción por la difusión en abril de 2018 de un vídeo que mostraba una conocida política española perteneciente a la esfera pública, junto a un vigilante de seguridad, tras sustraer presuntamente unas cremas.
A raíz de una declaración de brecha de seguridad de CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA SA y COMISIONES OBRERAS el 25 de enero de 2019, la AEPD inicia actuaciones previas de inspección que desembocaron en un procedimiento sancionador.
La brecha de seguridad se produjo a raíz de la pérdida de 6 pendrives de la empresa. La resolución de la AEPD se justifica en que las unidades de memoria USB extraviadas contenían los datos personales de 11.000 personas, con datos identificativos, fecha de nacimiento, sexo, estado civil y detalles del empleo en RTVE. Además, la resolución matiza que la brecha de seguridad se informó de forma tardía: los pendrives se extraviaron en noviembre de 2018 y existe la obligación legal de informar en un plazo máximo de 72 horas.
La primera de ellas fue motivada por una denuncia de interesado. Un antiguo cliente de Vodafone ejercitó ante esta empresa su derecho de cancelación de sus datos personales. En respuesta, Vodafone remitió una carta al reclamante indicándole que procedía de inmediato a la cancelación de datos personales almacenados. No obstante, el interesado recibió posteriormente más de doscientos SMS de Vodafone, lo que le llevó a presentar denuncia ante la AEPD.
La segunda sanción, más pequeña, vino impuesta por la vulneración del principio de exactitud de datos, al incluir datos personales de un interesado en el fichero de solvencia patrimonial BADEXCUG por una deuda de 193,33 euros, cuando en ese momento el propio interesado estaba en fase de negociación con Vodafone de una rebaja de cuantía (por aplicación de unos descuentos).
Asociado. Especializado en Derecho Civil, Derecho Bancario, Derecho de la Sociedad de la Información.
