La Agencia Española de Protección de Datos (AEPD) ha sancionado a una empresa del sector inmobiliario con el importe de 9.000 euros por infracción del artículo 6 del Reglamento General de Protección de Datos (RGPD) y por infracción del artículo 32 del mismo texto.
El día 4 de marzo de 2022 se admitió a trámite la reclamación presentada por la reclamante, en la cual se expone que la reclamada mediante correo electrónico remitido a una pluralidad de personas en fecha 24 de noviembre de 2021, expuso sin su consentimiento su dirección de correo electrónico a terceros.
Con fecha 24 de junio de 2022, se notifica al reclamado el acuerdo de inicio del procedimiento, convirtiéndose dicho acuerdo en propuesta de resolución al no efectuar el reclamado alegaciones en el plazo indicado, pese a haber sido este ampliado a su requerimiento en tiempo y forma.
Con los hechos descritos, en la Resolución PS-00104-2022 de 17 de octubre, dictada por la AEPD, se expone como hecho probado que "la entidad reclamada ha remitido un correo electrónico, a una pluralidad de destinatarios, sin utilizar la modalidad de copia oculta, lo cual permite que terceros ajenos a su persona tengan conocimiento sobre la dirección de correo electrónico del reclamante".
La AEPD manifiesta "que la entidad reclamada al remitir un correo electrónico de manera plural sin utilizar la modalidad de copia oculta, ha cedido sus datos a terceros sin causa que lo legitime y por tanto ha realizado un tratamiento de sus datos personales contrario a derecho"; incurriendo en una infracción del 5.1.f) y 32 del RGPD al violar el principio de integridad y confidencialidad, así como la no adopción de medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes, al no utilizar la modalidad de copia oculta en la remisión del correo electrónico. En la resolución se indica que:
La infracción del artículo 5.1 f) del RGPD, puede ser sancionada con multa de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, de acuerdo con el artículo 83.5 del RGPD.
La infracción del artículo 32 del RGPD puede ser sancionada con multa de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, de acuerdo con el artículo 83.4 del RGPD.
La Agencia considera que procede graduar la sanción a imponer a la empresa de acuerdo con los criterios que establece el artículo 83.2 del RGPD, considerando como agravante según el artículo 76.2 b) LOPDGDD, la vinculación del responsable con el tratamiento de datos personales, en definitiva, la AEPD impone una multa de 6.000 euros (seis mil euros) por la infracción del art. 5.1 f) del RGPD; y una multa de 3.000 euros (tres mil euros) por la infracción del art. 32 del RGPD, esto es, una cuantía total que asciende a la cantidad de 9.000 euros.
En este caso, no se han puesto en práctica las medidas técnicas y organizativas para la protección de los datos personales de los interesados, ya que, como se expone en el apartado 1 del artículo 32 del RGPD “el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”.
Esto implica que implementar medidas de seguridad para el tratamiento de datos es una de las piezas fundamentales para la protección de los datos personales de los clientes y el cumplimento de la legislación.
Unive Abogados cuenta con abogados especialistas y técnicos en Protección de Datos, contando con una amplia experiencia, tanto en el ámbito público como privado, que acompañarán al responsable del tratamiento en la adaptación y cumplimiento de la normativa en materia de Protección de Datos, así como en el establecimiento de las medidas de seguridad oportunas en cada organización.