Select Page

Boletín: Abril 2023

Volver

Sanción de la AEPD por no nombrar un Delegado de Protección de Datos y por una Política de Privacidad incompleta

La Agencia Española de Protección de Datos (en adelante, AEPD) ha sancionado con 20.000 euros a una cadena de restaurantes por no tener nombrado un delegado de protección de datos (en adelante, DPD) y 5.000 euros por falta de información en la política de privacidad de la página web.

  • En cuanto a la sanción por no disponer de DPD, la AEPD examina tres elementos clave: (i) actividad principal, (ii) observación habitual y sistemática y (iii) gran escala.

Las actividades principales deben entenderse como las operaciones clave necesarias para la consecución de los objetivos y no deben interpretarse como excluyentes cuando el tratamiento de datos sea una parte indisociable de la actividad.

La observación habitual y sistemática no se limita al entorno en línea y este debe considerarse solo un ejemplo de observación del comportamiento de los interesados. Se interpreta “habitual” como: a) continuado o que se produce a intervalos concretos durante un periodo concreto, b) recurrente o repetido en momentos prefijados o que tiene lugar de manera constante o periódica. Se interpreta “sistemático” como: a) que se produce de acuerdo con un sistema, b) preestablecido, organizado o metódico, c) que tiene lugar como parte de un plan general de recogida de datos y/o d) llevado a cabo como parte de una estrategia.

En el supuesto objeto de la resolución, se cumple con el criterio de habitual y sistemática, dado que se cuenta con un plan de recogida de datos para obtener datos de los clientes e incrementar su área de negocio. Ello se refleja en la política de privacidad, en la que se muestra que recogen datos de todo tipo, incluyendo la dirección IP (un punto clave de localización), el historial de navegación y las preferencias del usuario, datos derivados de las cookies entre las que existen algunas de seguimiento, datos de geolocalización o datos de facturación, entre otros. Los datos se recogen de manera habitual, pues la entidad los precisa para prestar sus servicios y para mejorar el rendimiento de su negocio. Entre otras cuestiones se indica en la política de privacidad que utilizan los datos con fines estadísticos y de servicios.

Por último, en cuanto al tratamiento a gran escala, se analizan los siguientes factores: (i) el número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente, (ii) el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento, (iii) la duración, o permanencia, de la actividad de tratamiento de datos y (iv) el alcance geográfico de la actividad de tratamiento.

Por tanto, la AEPD considera que los parámetros explicitados al supuesto concreto la entidad reclamada realiza un tratamiento a gran escala. Lo fundamenta en lo siguiente: “se tratan una cantidad considerable de datos personales (todos los citados en su política de privacidad) en un determinado ámbito territorial (en este caso a nivel nacional); afectando a múltiples interesados (se trata de una app de amplia implantación y con un gran número de interesados); también si pueden entrañar alto riesgo (uno de los datos que utilizan es la de la geolocalización). Examinados los parámetros explicitados al supuesto concreto, obviamente realiza un tratamiento de datos a gran escala”.

  • En cuanto a la sanción por falta de información en la política de privacidad de la web, la AEPD considera que no se ofrece información precisa sobre las finalidades del tratamiento, dado que se utilizan expresiones indefinidas como “podemos utilizar”. La parte reclamada no ha acreditado el motivo por el cual es necesario utilizar ese tipo de expresiones.

La normativa de protección de datos indica que se debe informar a las personas usuarias de los fines del tratamiento y de la base jurídica aplicable, evitando prácticas como incluir finalidades demasiado genéricas o inespecíficas.

 

Diseinatu zure ibilbide profesionala gurekin.

Eman lehen pausoa eta jarri zure talentua martxan.

Lur by LKS Next

Kontaktatu
+

Nola lagundu zaitzaket?

Idatzi iraunkortasunaren arloko zuzentarau berriari (CSRD) buruzko zalantzak, edo aukeratu galdera hauetako bat, eta hasi jakiten arau honek enpresentzat planteatzen dituen erronkei berme osoz nola aurre egin.

Zer enpresa tamainari aplikatzen zaio zuzentaraua eta noiz aurkeztu behar dituzte txostenak tamainaren arabera?
Zuzentarau berriak enpresentzat dakatzan aldaketa nagusiak zeintzuk dira?
Zer da materialtasun bikoitza?

Zerbait idatzi behar duzu bidali ahal izateko

Lurrek akatsak egin ditzake. Informazio garrantzitsua egiaztatu.

Kontaktoa

Gure zerbitzuari buruz informazio gehiago nahi duzu?

Harremanetan jarri