La Agencia Española de Protección de Datos (AEPD) ha estado muy activa a lo largo de esta última semana. De entre todas las resoluciones publicadas, dos destacan especialmente:
Caixabank: Infracción por falta de consentimiento adecuado (artículo 6.1 RGPD)
La AEPD ha sancionado con 3.000.000€ a la entidad CAIXABANK por haber realizado determinadas actividades de tratamiento sin el adecuado consentimiento de los interesados.
La entidad, al momento de iniciar una relación contractual con sus clientes, les informa de la posibilidad de realizar actividades con fines comerciales. Tales actividades están basadas en la obtención del consentimiento de los interesados. Como sabemos, el artículo 12 del RGPD, Reglamento General de Protección de Datos; dispone que se les debe informar de manera concisa, transparente, inteligible y de fácil acceso. Sin embargo, en el momento de otorgar el consentimiento, no se informaba:
- De la consulta de ficheros de solvencia.
- De la realización de diversos procedimientos orientados a determinar la situación financiera de los clientes.
Ello supone crear un perfil de los afectados, actividad considerada de alto riesgo para los derechos de los interesados. De esta forma, es posible identificar las siguientes infracciones:
- Falta de información sobre las operaciones de tratamiento realizadas y los datos utilizados para llevarlas a cabo.
- Desinformación sobre la base legitimadora.
- Falta de obtención del consentimiento para cada uno de las finalidades previstas.
Vodafone: Infracción por envío de comunicaciones comerciales
La compañía de telecomunicaciones ha sido sancionada con 70.000€ por dos infracciones relacionadas con el envío de comunicaciones comerciales.
La primera de ellas, por vulnerar el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI). Éste prohíbe el envío de comunicaciones comerciales a través de correo electrónico sin consentimiento. Sin embargo, la entidad realizó campañas a potenciales clientes, los cuales no habían aceptado tales acciones.
Por otra parte, el reclamante ejerció su derecho de oposición, pese a lo cual siguió recibiendo este tipo de contenido. Esto constituye una infracción de lo dispuesto por el artículo 21 RGPD.
Asimismo, esta sanción nos sirve para recordar que el correo electrónico es un dato de carácter personal. Vodafone alegó que el uso de emails con fines comerciales no entra en el ámbito de protección del RGPD. Sin embargo, ya ha sido reiterado por parte de las diversas Agencias que se trata de un dato personal: el usuario escoge una serie de letras, números y símbolos que le identifican frente al resto.