¿En cuantas ocasiones hemos requerido que un familiar o un amigo nos haga algún tipo de trámite? Por ejemplo, recoger un paquete, enviar un pedido… o bien cambiar datos personales como el correo electronico o el domicilio en alguna entidad. Seguro que, en prácticamente todas la empresas o administraciones publicas en las que hayamos tenido que realizar esta acción nos han solicitado una autorización con el consentimiento del interesado.
Nuestra Agencia Española de Protección de Datos (en adelante AEPD) ha publicado hace unas semanas, en la resolución con número de expediente EXP202209861, una sanción a una entidad de telefonía por no requerir la autorización mencionada. Los hechos y motivos en los que se basa la reclamación previa son los siguientes:
- La persona interesada, y parte reclamante, interpone una reclamación ante la AEPD como consecuencia de que la entidad reclamada ha consentido el cambio de la dirección de correo electrónico de contacto y la domiciliación bancaria solicitada por un tercero, en concreto por la expareja de la reclamante, sin su consentimiento. Junto con el escrito de reclamación aporta denuncia policial, reclamación formulada ante la entidad y el contrato para acreditar su titularidad.
- También se aporta comunicación de la reclamada confirmando que en un determinado mes la expareja de la parte reclamante se hizo cargo del recibo de los servicios que este tiene contratados, justificando la atención de la solicitud de cambio de cuenta bancaria del tercero referido por la posibilidad que prevé el Código Civil de hacerse cargo de deuda ajenas.
Una vez admitida a tramite la reclamación por nuestra autoridad de control, y trasladada a la empresa reclamada, la misma manifiesta lo siguiente:
- Los representantes de la entidad manifiestan que el procedimiento establecido para cambiar los datos de contacto y facturación de un cliente es la comunicación presencial del titular de la línea o de una persona autorizada en sus oficinas.
Así, las medidas de seguridad implementadas consisten en la comprobación presencial de la identidad del titular mediante exhibición del documento de identidad.
- En caso de que se trate de una persona autorizada por el titular se solicita además el documento de autorización expresa firmado que debe incluir una copia del DNI del titular y el número del DNI de la persona autorizada, solicitando la exhibición del documento al autorizado.
En relación con el motivo por el que se ha modificado el correo electrónico y la cuenta de facturación de la parte reclamante, los representantes de la entidad indican que la persona que solicitó el cambio fue la persona identificada y conocida como el cónyuge del titular. Manifiestan que, en un exceso de confianza, al tratarse de una persona conocida por el personal de atención al cliente NO se le requirió en ese momento el documento de autorización, instando a la persona que lo presentase en los días siguientes, lo que no ocurrió en ningún momento posterior.
Vistos los hechos, la Agencia pasa a resolver la reclamación, por lo que vamos a analizar los fundamentos de derecho:
Una vez determinado que la entidad reclamada es la responsable del tratamiento de los datos, nuestra autoridad de control hace un repaso de todos los artículos que tienen cabida en el supuesto que nos ocupa, comenzando por el mas importante, el artículo 6 del Reglamento Europeo de Protección de Datos, que regula las bases de legitimación del tratamiento. La base que aplica en este caso es la que se estipula en el apartado a) del mencionado articulo 6:
“a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.”
Asimismo, al hilo de ello, el artículo 7 RGPD indica que el responsable del tratamiento deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales. Si el consentimiento se otorgara en el contexto de una declaración escrita que refiera también a otros temas, se obliga a que la solicitud de consentimiento se distinga claramente de los demás asuntos y se presente de forma inteligible, de fácil acceso y utilizando un lenguaje claro y sencillo. Se exige, además, que se le proporcione información adicional al interesado, entre otros, cuáles serán las categorías de datos a tratar, las finalidades para las que se solicita el consentimiento y el derecho a retirar el consentimiento en cualquier momento.
Por otro lado, los artículos 13 y 14 del RGPD estipulan lo siguiente:
Artículo 13: la información que debe facilitarse al interesado cuando los datos son recogidos directamente de éste
Artículo 14: o a través de otros medios.
En cualquier caso, la obligación de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos recae sobre el responsable del tratamiento si se dan dos circunstancias:
1.- Si los datos se obtienen directamente del interesado, debe ponerse a su disposición la información en el momento en que se soliciten los datos, previamente a la recogida o registro y,
2.- Si no se obtienen del propio interesado, se le debe informar antes de un mes desde que se obtuvieron los datos personales, o antes o en la primera comunicación con el interesado, o antes de que los datos (en su caso) se hayan comunicado a otros destinatarios.
En el presente caso, constan el cambio de la dirección de correo electrónico de contacto y la domiciliación bancaria solicitada por un tercero, en concreto de la expareja del reclamante, sin el consentimiento de la parte reclamante.
Todo ello, sin su autorización ni consentimiento, considerando que se ha vulnerado la normativa en materia de protección de datos de carácter personal.
De conformidad con las evidencias de las que se dispone en este acuerdo de iniciación del procedimiento sancionador, y sin perjuicio de lo que resulte de la instrucción, se considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable a la entidad, por vulneración del artículo 6.1 del RGPD, puesto que el tratamiento de datos llevado a cabo se ha efectuado sin causa legitimadora.
Y así lo entiende la AEPD en el momento de tipificación de la infracción, la cual podría suponer la comisión de una infracción tipificada en el articulo 83.5 RGPD. Asimismo, y a los efectos decidir sobre la imposición de una multa administrativa y su cuantía, la Agencia gradúa la sanción de acuerdo a los criterios establecidos en el artículo 83.2 RGPD:
Como agravantes: “b) la intencionalidad o negligencia en la infracción”
La Agencia Española de Protección de Datos comparte además un extracto de la Sentencia de la Audiencia Nacional de 17/10/2007 (rec. 63/2006) en la cual “El Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto.”
La entidad se dedica a la prestación de servicios de telecomunicaciones por todo tipo de medios, sean alámbricos, inalámbrico, satelital, wifi o cualquier otro medio que lo permita, incluyendo servicios de televisión, internet, datos, telefonía fija…por tanto, en el ejercicio de su actividad debe contar con el consentimiento y legitimación en el tratamiento de los datos personales de sus clientes.
En consecuencia y a efectos del cumplimiento de los requisitos legalmente establecidos, el ejercicio de dicha actividad implica necesariamente el conocimiento y aplicación de la normativa vigente en materia de protección de datos personales.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y el artículo 76.2 de la LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el artículo 6.1 del RGPD, permite fijar inicialmente a la Agencia una sanción de 70.000 €.
En conclusión, lo que se puede extraer de esta resolución es que siempre hay que solicitar el consentimiento para cualquier tratamiento de datos personales, bien sea directamente al interesado o bien mediante autorización de este a un tercero, pues de lo contrario entrañaría una vulneración a la normativa en materia de protección de datos.