Etiqueta: sanción aepd

El coste del reenvío de una solicitud de acceso a los datos personales en Mercadona: 170.000€.

Posted on by webmaster

Sí, 170.000€ es la cantidad nada desdeñable con la que la Agencia Española de Protección de Datos ha sancionado a Mercadona por supuesta infracción de los artículos 6 (Licitud del tratamiento), y 12 en relación con el art. 15 (Ejercicio del Derecho de acceso), ambos del Reglamento (UE) 2016/679.

 Pero comencemos por el principio:

Una clienta sufre un accidente dentro de un establecimiento de la cadena alimenticia, y, con el propósito de reclamar por los daños sufridos, ejerce el derecho de acceso a las imágenes de las cámaras de seguridad. Para ello, la clienta, y esto es importante, no realiza la petición mediante los canales establecidos para la comunicación en materia de derechos de acceso, sino que utiliza el formulario general de Atención al Cliente disponible en la propia web del establecimiento.

Tras un mes sin recibir respuesta, la clienta, ahora sí, se dirige directamente mediante email al Delegado de Protección de Datos de la entidad, el cual responde que no ha tenido conocimiento de ninguna solicitud de acceso y que, además, las imágenes ya han sido borradas por transcurrir el plazo legal de 30 días para la conservación de las imágenes, por lo que la afectada interpone reclamación ante la AEPD.

A partir de aquí se activa la maquinaria administrativa de la Agencia, que tras realizar las correspondientes averiguaciones y pesquisas concluye que el gigante alimenticio infringe el ya comentado Reglamento Europeo e impone sendas sanciones de 100.000€ y 70.000€ por infracción de los ya citados artículos 6 y 12 RGPD, respectivamente.

Todo ello nos lleva a pensar, ¿qué ha fallado para que se haya dado esta situación?

Pues bien, se entiende que Mercadona tiene canales separados de comunicación con sus clientes; El primero un formulario de contacto para aquellas consultas, incidencias o quejas que los consumidores quieran realizar sobre aspectos referentes a la venta de sus productos o la gestión de las incidencias en sus establecimientos y el segundo consistente en las direcciones de teléfono, web y correo para el ejercicio de los derechos en materia de protección de datos o consultas al DPO. El problema viene dado, cuando la comunicación entre ambos canales es deficiente o, como en este caso, nula.

Así lo entiende la AEPD cuando en su resolución expresa:

«…MERCADONA plantea la cuestión como si la solicitud de acceso no hubiera existido, a pesar de que no es controvertido que MERCADONA recibió dicha solicitud. El hecho de que su tramitación no fuese la adecuada, al no haberse trasladado internamente dicha solicitud a la persona o unidad encargada de gestionarla, no puede tratarse como algo ajeno a la propia entidad responsable.»

Para más inri, la clienta, a la vez que interpuso la reclamación ante la AEPD volvió a poner en conocimiento el accidente sufrido ante Mercadona, nuevamente mediante el uso de la web corporativa, y es durante la instrucción del procedimiento, cuando ésta comunica a la Agencia que ha llegado a un acuerdo con la empresa por el que han quedado resarcidos tanto los daños y perjuicios sufridos en el ámbito de la responsabilidad civil, como por, y esto es lo importante, la no atención del derecho de acceso, a la vez que solicita el archivo del procedimiento sancionador.

Aquí se nos abre una cuestión: ¿podemos decidir cuándo entendemos realizado, o como en este caso, compensado, el ejercicio de los derechos en materia de protección de datos? La AEPD es clara en este aspecto: ¡NO!, y esto se deduce en la propia resolución:

«De acuerdo con lo expuesto, no puede aceptarse la postura defendida por MERCADONA en sus alegaciones cuando señala que con el citado acuerdo entre las partes se han restaurado las garantías y derechos de la interesada. La “reparación” de los daños y perjuicios sufridos a la que se refiere MERCADONA no puede exonerarla de la responsabilidad derivada de los incumplimientos de la normativa que se hayan producido, cuya aplicación, obviamente, no queda condicionada por los pactos que puedan producirse entre particulares. Sólo cuando el responsable del tratamiento demuestre que “no es en modo alguno responsable del hecho que haya causado los daños y perjuicio” estará exento de responsabilidad, conforme a lo establecido en el artículo 82.3 del RGPD. Ese resarcimiento puede compensar los daños y perjuicios sufridos por la reclamante, pero no restaura sus garantías y derechos en un caso que tiene origen en el ejercicio del derecho de acceso, el cual no puede ser atendido al haberse suprimido los datos personales a los que se refería la solicitud.»

Conclusión:

¿Qué puede haber llevado a los responsables del Servicio de Atención al Cliente a no reenviar al DPO una simple solicitud de acceso a las imágenes de un establecimiento? Me gustaría pensar lo contrario, pero, mi opinión, de los hechos comentados, se hace notorio el desconocimiento en materia de protección de datos del personal encargado de gestionar dicho servicio. De no haber sido así, se hubiera tenido conocimiento de la importancia de gestionar en el plazo legal dicha solicitud, así como de los graves efectos económicos que «un error humano involuntario» puede tener para la empresa.

Por otro lado, creo que, de forma acertada, la cadena de supermercados, muestra especial diligencia cuando, una vez tiene conocimiento de lo sucedido, elimina el procedimiento de gestión en su parte no automatizada, e implanta un nuevo sistema por el que todas las peticiones del ejercicio de derechos realizadas a través de su formulario online se ponen en copia al Delegado de protección de datos. Hay que tener en cuenta que la clienta no utilizó el canal establecido para comunicarse directamente con el DPO, sino que utilizó un medio de comunicación que, aunque ofrecía contacto directo con la empresa, no era el medio establecido para realizar la petición de acceso a los datos. Considero que, este hecho debiera haberle servido a la mercantil para esquivar, o cuanto menos minorar, la propia sanción.

A raíz de lo expuesto en el presente procedimiento sancionador podemos extraer dos consecuencias:

  1. A diferencia de lo que se pueda entender, el ejercicio de los derechos en materia de protección de datos no es un tema cualquiera, requiere por parte de las empresas la implantación de mecanismos de comunicación eficaces para la gestión de dichos derechos, que, a su vez, sean capaces de ofrecer una respuesta eficiente y adecuada.
  2.  La AEPD hace patente la inexistencia del derecho dispositivo en el ejercicio de los derechos en materia de protección de datos, una vez activado el rodillo de la Agencia, éste ya no para.  

 La resolución todavía es recurrible tanto en reposición ante la directora de la Agencia Española de Protección de Datos, como ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, por lo que deberemos estar atentos, en el caso de que Mercadona decida recurrir ante los Tribunales la decisión de la Agencia Española de Protección de Datos, para el caso de que éstos extraigan conclusiones diferentes a los de la Autoridad de control.

Enlace a la resolución de la AEPD:

https://www.aepd.es/es/documento/ps-00267-2021.pdf

Sergio Gil – Abogado Icav 19.693

Protección de datos y Ciberseguridad en la empresa

¿Mirillas digitales? Please, don’t film me!

Posted on by webmaster

 

¿Puedo instalar en mi domicilio una mirilla digital?

Esta cuestión se expone de forma recurrente por multitud de particulares ante la Agencia Española de Protección de Datos, en el momento en que éstos plantean reclamaciones motivadas por la instalación, por parte de alguno de sus vecinos, de uno estos nuevos dispositivos que han irrumpido en el mercado, y que, a su vez, han cambiado la forma en la que, de forma tradicional, y a través de una micro ventana, conseguíamos, averiguar quién repicaba la puerta de nuestra morada, o bien, eso sí, siempre de forma sigilosa, saber quien era el nuevo novio de la hija de nuestros vecinos.

Muchas son las cuestiones que se nos plantean ante la instalación de uno de estos dispositivos, dada la gran capacidad de obtener de los mismos información del exterior de nuestra vivienda, pudiendo llegar a saber incluso, quien llama a nuestra puerta aún cuando no nos hallemos en la misma con una simple notificación que, incluso, puede incluir una imagen o vídeo de quien llama a nuestro timbre siendo enviada al momento a nuestro smartphone dondequiera que estemos.

Pues bien, de las diferentes resoluciones acordadas por la AEPD, deducimos que es una cuestión cargada de matices, y si bien la gran mayoría de las reclamaciones efectuadas por aquellos vecinos que consideran violada su intimidad por la instalación de alguno de estos dispositivos suelen terminar en archivo, es conveniente ser conocedor de ciertas pautas generales;

¿He de pedir permiso a la comunidad de propietarios para realizar la instalación de una mirilla digital?

 Por regla general este tipo de mirillas se instalan en las puertas de las viviendas, las cuales no forman parte de los elementos comunes de la comunidad, sino que, son parte de los elementos privativos de cada vivienda, por lo que no se ven afectadas por la Ley 49/1960, 21 de julio de Propiedad Horizontal, no siendo necesario por lo tanto solicitar permiso a la comunidad para su instalación.

¿Puedo realizar grabaciones o fotografías de las zonas comunes de la comunidad?

Cuestión controvertida en la que será necesario realizar un juicio de proporcionalidad, y que resolveremos observando el motivo por el cual se realiza la instalación, que no será otro, que el de usarse con la misma finalidad que una mirilla tradicional, pero con la finalidad de dotar de mayor seguridad al hogar o bien por la mayor comodidad del usuario, por lo que por regla general la grabación o la toma de fotografías sin motivo no estaría justificada. Lo ideal en este caso es que la mirilla funcione igual que lo vienen realizando por ejemplo los porteros electrónicos, los cuales únicamente ofrecen una mínima imagen en directo de la vía pública, y permiten identificar a la persona que llama a nuestro timbre, pasando a negro en el menor tiempo posible. Esto supone que si la mirilla no realiza grabaciones de imágenes no existe un tratamiento de datos como tal.

No obstante, y con carácter excepcional, en aquellos casos en los que nuestra propiedad venga sufriendo algún tipo de daño o acto vandálico, la Agencia suele mostrarse permisiva y sí que podremos usar las imágenes o grabaciones que se realicen, únicamente como prueba ante las autoridades de dichos actos. Bien es cierto que, en este caso, es más que conveniente informar de dicho tratamiento dado que pueden verse afectados diversos derechos (intimidad, honor), pudiendo llegar a ser sancionado dicho tratamiento en el caso de no comunicarlo.

¿Necesito alguna justificación para instalarla?

Esta es una cuestión que, en mi criterio, aún está por definir. Normalmente la Agencia en sus resoluciones suele examinar la motivación por la que se realiza la instalación de este tipo de mirillas. Lo cierto es que, si como hemos expresado anteriormente, cumple el mismo propósito que una mirilla “analógica”, ¿Qué justificación se requiere para no hacerlo?

Por regla general la AEPD ha dado por buenos diversos motivos de carácter generalista, tales como aumentar la seguridad o incluso la comodidad en la visualización (entiéndase de aquéllos que ya con cierta edad, nos cuesta enhebrar un hilo). Esto se comprende, como ya hemos expresado anteriormente, desde la perspectiva restrictiva en la que únicamente realizamos un uso idéntico al de las mirillas tradicionales. De modo que, ante una eventual reclamación, alegar una mayor comodidad en el uso de estos dispositivos, debería ser motivo suficiente para realizar su instalación.

CONCLUSIÓN:

El uso de las mirillas digitales, siempre que se realice conforme al uso y destino que se viene haciendo con una mirilla analógica es acorde con la normativa en materia de protección de datos, y dado que no se realiza un tratamiento de datos “al uso”, y su instalación se realiza en una parte privativa dentro de la comunidad de vecinos, no será necesario solicitar el permiso de ésta para su uso.

Enlace a la última resolución sobre la materia de la AEPD:

https://www.aepd.es/es/documento/ai-00173-2022.pdf

Sergio Gil – Abogado Icav 19.693

Protección de datos y Ciberseguridad en la empresa