Sanciones por incumplir el RGPD en España

El pasado 20 de diciembre de 2018, la Audiencia Nacional confirmó la condena impuesta por la Agencia Española de Protección de Datos (AEPD) a Ómnium Cultural (OC) y la Asamblea Nacional Catalana (ANC) por tratar ilegalmente datos ideológicos de ciudadanos catalanes en una gran encuesta realizada los meses previos a la consulta del 9 de noviembre de 2014.

La AEPD estimó el 18 de noviembre de 2015 que Ómnium y la Asamblea Nacional Catalana habían infringido el artículo 7.2 de la Ley Orgánica de Protección de Datos 15/1999 (LOPD) al haber tratado datos personales sensibles o especialmente protegidos sin recabar un especial consentimiento por parte de los encuestados.

La Audiencia Nacional en su Resolución 453/2016 ha confirmado la condena impuesta por la autoridad nacional española de 200.000 euros a cada una de estas dos entidades por las siguientes razones:
1. datos personales sensibles

Aunque discutido por las entidades condenadas, la Audiencia Nacional reafirmó que OC y ANC trataban datos de carácter ideológico ya que la opción ideológica del encuestado se podía deducir de las propias preguntas de la encuesta.

El tribunal consideró acreditado que para rellenar el cuestionario había que aceptar implícitamente “el posicionamiento ideológico” del que parte el formulario, “favorable a la independencia de Cataluña respecto del Estado español“. La encuesta, según la Sala, se inclinaba claramente a favor de una concreta posición ideológica, “la independencia de Cataluña, con la necesariamente ha de estarse conforme pues en otro caso no era posible contestar la misma, o al menos en su integridad

En línea con la Agencia de Protección de Datos, el tribunal concluye que Ómnium sí hizo un tratamiento de datos de los encuestados y que permitía asociar los datos a un domicilio concreto, “porque se puede llevar a cabo la identificación (de los encuestados) sin grandes esfuerzos“.

El concepto de datos personales es un concepto muy amplio que incluye no sólo el nombre, apellidos, dirección o número de DNI, si no todos aquellos datos por los que se pueda identificar a su titular sin grandes esfuerzos o coste.

2. existencia de ficheros

La Audiencia Nacional considera probado que para efectuar el registro de los datos, Ómnium creó un fichero y recibía las respuestas a las encuesta, tanto por correo como por los voluntarios “puerta por puerta”. Finalizada la encuesta, se procedía a su mecanización a través de una aplicación facilitada por ANC.

Frente al argumento de los recurrentes de que no se realizó fichero alguno, el tribunal considera que sí se realizaron criterios de archivo que posibilitaban la localización de los datos personales, existiendo un fichero manual y automatizado estructurado.

Es importante distinguir si existe un fichero estructurado de datos personales en los que sea posible la identificación de la persona de una pura acumulación de datos personales.

3. responsabilidad conjunta o joint controllership

El Reglamento en materia de protección de datos (RGPD) regula en su artículo 26 la coexistencia de varios responsables de tratamientos de datos personales cuando de forma conjunta decidan sobre el mismo – corresponsables.

Como hemos explicado en anteriores artículos de este blog, el responsable del tratamiento de datos personales es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

A pesar de que las partes argumentaban que debía tratarse como un único tratamiento de datos personales, una única infracción y una responsabilidad solidaria de ambas organizaciones, la Audiencia consideró que debía apreciarse una responsabilidad individual y a título individual de cada una de ellas, ya que estimó que era un tratamiento en el que varias partes determinaban conjuntamente, los fines y los medios del mismo y en este caso, “cada uno de estos corresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestas” por la legislación en materia de protección de datos personales.
La sentencia puede ser recurrida en casación ante el Tribunal Supremo.

Más información:

Primeras sanciones por incumplir el RGPD

¿Cuáles son los nuevos retos en materia de protección de datos?

Agencia Española de Protección de Datos – Informes y resoluciones

Un comentario sobre “Sanciones por incumplir el RGPD en España

Agrega el tuyo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: