En el procedimiento Nº PS/00279/2020, la Agencia Española de Protección de Datos (AEPD) ha sancionado con 9.000 euros al responsable de una web por publicar allí material fotográfico y otros datos personales de una persona, sin su consentimiento.
La AEPD considera infringidos los arts. 6 (licitud del tratamiento) y 13 (información que deberá facilitarse cuando los datos personales se obtengan del interesado) del Reglamento General de Protección de Datos (RGPD).
“Cada infracción puede ser sancionada con multa de 20.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior”.
Antecedentes
Después de apreciar que en una web se había publicado material fotográfico de su propiedad y otros datos de carácter personal sin su consentimiento, en junio de 2019 el afectado solicitó, vía correo electrónico, la supresión de tales datos personales a la reclamada. ¿Respuesta? Ninguna.
Fruto de tal silencio, en julio de 2019 el afectado interpuso reclamación ante la AEPD. Allí, además de denunciar la publicación de las fotografías y de otros datos personales sin su consentimiento en una web de un tercero, manifestaba que el aviso legal y la política de privacidad de la misma no cumplían con los requisitos exigidos en cuanto al tratamiento de datos de carácter personal de la normativa de protección de datos.
En junio de 2020, ya en el seno del correspondiente procedimiento de admisión, se dio traslado de esta reclamación al responsable de la web. ¿Respuesta? Nuevamente, ninguna.
Dos infracciones
A juicio de la AEPD y “de conformidad con las evidencias de las que se dispone”, se observa que los hechos conocidos son constitutivos de dos infracciones imputables al reclamado:
Por un lado, una infracción por vulneración del art. 6 del RGPD, por el tratamiento de sus datos de carácter personal sin su consentimiento;
Por otro lado, una segunda infracción por la vulneración del art. 13 del RGPD, por carecer la política de privacidad de la página web objeto de la presente reclamación, de los requisitos exigidos en cuanto al tratamiento de datos de carácter personal.
Dos agravantes
Según el art. 72.1 b) y h) de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, se consideran muy graves las infracciones que supongan:
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el art. 6 del RGPD.
h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los arts. 13 y 14 del RGPD y 12 de esta ley orgánica.
Pues bien, tras informar la AEPD que “cada infracción puede ser sancionada con multa de 20.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior”, en el presente caso se considera que procede graduar cada sanción a imponer de acuerdo con los agravantes que establece el art. 83.2 del RGPD. En particular:
- En el presente supuesto estamos ante una acción negligente no intencional, pero significativos identificados (art. 83.2 b) del RGPD);
- Se encuentran afectados identificadores personales básicos (art. 83.2 g) del RGPD).
Dos multas
Así las cosas, la Directora de la AEPD, Mar España Martí, impone al responsable de la web una sanción total de 9.000 euros.
En concreto, tal cantidad se deduce a razón de 5.000 euros de multa por la infracción del art. 6 del RGPD, y 4.000 euros de multa por la vulneración del art. 13 del mismo cuerpo normativo.
Fuente y foto: ECONOMIST & JURIST