Seleccionar página

Boletín: Abril 2023

Volver

Sanción de la AEPD por no nombrar un Delegado de Protección de Datos y por una Política de Privacidad incompleta

La Agencia Española de Protección de Datos (en adelante, AEPD) ha sancionado con 20.000 euros a una cadena de restaurantes por no tener nombrado un delegado de protección de datos (en adelante, DPD) y 5.000 euros por falta de información en la política de privacidad de la página web.

  • En cuanto a la sanción por no disponer de DPD, la AEPD examina tres elementos clave: (i) actividad principal, (ii) observación habitual y sistemática y (iii) gran escala.

Las actividades principales deben entenderse como las operaciones clave necesarias para la consecución de los objetivos y no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad.

La observación habitual y sistemática no se limita al entorno en línea y este debe considerarse solo un ejemplo de observación del comportamiento de los interesados. Se interpreta “habitual” como: a) continuado o que se produce a intervalos concretos durante un periodo concreto, b) recurrente o repetido en momentos prefijados o que tiene lugar de manera constante o periódica. Se interpreta “sistemático” como: a) que se produce de acuerdo con un sistema, b) preestablecido, organizado o metódico, c) que tiene lugar como parte de un plan general de recogida de datos y/o d) llevado a cabo como parte de una estrategia.

En el supuesto objeto de la resolución, se cumple con el criterio de habitual y sistemática, dado que se cuenta con un plan de recogida de datos para obtener datos de los clientes e incrementar su área de negocio. Ello se refleja en la política de privacidad, en la que se muestra que recogen datos de todo tipo, incluyendo la dirección IP (un punto clave de localización), el historial de navegación y las preferencias del usuario, datos derivados de las cookies entre las que existen algunas de seguimiento, datos de geolocalización o datos de facturación, entre otros. Los datos se recogen de manera habitual, pues la entidad los precisa para prestar sus servicios y para mejorar el rendimiento de su negocio. Entre otras cuestiones se indica en la política de privacidad que utilizan los datos con fines estadísticos y de servicios.

Por último, en cuanto al tratamiento a gran escala, se analizan los siguientes factores: (i) el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente, (ii) el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento, (iii) la duración, o permanencia, de la actividad de tratamiento de datos y (iv) el alcance geográfico de la actividad de tratamiento.

Por tanto, la AEPD considera que los parámetros explicitados al supuesto concreto la entidad reclamada realiza un tratamiento a gran escala. Lo fundamenta en lo siguiente: “se tratan una cantidad considerable de datos personales (todos los citados en su política de privacidad) en un determinado ámbito territorial (en este caso a nivel nacional); afectando a múltiples interesados (se trata de una app de amplia implantación y con un gran número de interesados); también si pueden entrañar alto riesgo (uno de los datos que utilizan es la de la geolocalización). Examinados los parámetros explicitados al supuesto concreto, obviamente realiza un tratamiento de datos a gran escala”.

  • En cuanto a la sanción por falta de información en la política de privacidad de la web, la AEPD considera que no se ofrece información precisa sobre las finalidades del tratamiento, dado que se utilizan expresiones indefinidas como “podemos utilizar”. La parte reclamada no ha acreditado el motivo por el cual es necesario utilizar ese tipo de expresiones.

La normativa de protección de datos indica que se debe informar a las personas usuarias de los fines del tratamiento y de la base jurídica aplicable, evitando prácticas como incluir finalidades demasiado genéricas o inespecíficas.

 

Diseña tu trayectoria profesional con nosotros.

Da el primer paso y pon tu talento en acción.

Lur by LKS Next

Te contactamos
+

¿Cómo puedo ayudarte?

Escribe tus dudas sobre la nueva Directiva en sostenibilidad (CSRD) o selecciona alguna de las siguientes preguntas para descubrir cómo afrontar los retos que plantea esta regulación para las empresas.

¿A qué tamaño de empresas aplica la directiva y cuándo deben presentar sus informes en función del tamaño?
¿Cuáles son los principales cambios para las empresas que trae consigo la nueva directiva?
¿Qué es la doble materialidad?

Debes escribir algo para poder enviar

Lur puede cometer errores. Considera verificar la información importante.

Contacto

¿Te gustaría saber más sobre nuestros servicios?

CONTÁCTANOS