Un extrabajador de ESTUDIO ALCAZAR DEL GENIL 2022, S.L denunció a la inmobiliaria ante la AEPD por haber sido obligado a tomar fotos de buzones de comunidades de vecinos para crear una base de datos de posibles clientes, sin permiso ni información previa a los afectados. Al negarse, fue despedido.
Durante la investigación, la AEPD confirmó que se recopilaron datos personales (nombres, direcciones, puertas y plantas) sin consentimiento y que se subieron a una base de datos utilizada con fines comerciales.
Fundamentos Jurídicos Clave
¿Qué se considera un dato personal?
Según el Reglamento General de Protección de Datos (RGPD), cualquier información que identifique o pueda identificar a una persona, como nombre, dirección o incluso datos de un buzón, se considera dato personal.
¿Qué se entiende como tratamiento de datos?
El tratamiento de datos implica cualquier acción sobre esos datos: recogerlos, almacenarlos, usarlos, etc.
¿Se puede hacer lo que hizo la empresa?
No. El artículo 6 del RGPD exige una base legal para tratar datos personales. Por ejemplo, el consentimiento del afectado, un contrato, una obligación legal o un interés legítimo que no dañe los derechos del ciudadano.
En este caso, la empresa no tenía ninguna base legal, ya que no pidió permiso ni informó a los vecinos, y tampoco se trataba de una fuente pública ni había otro motivo que lo justificara.
Infracción
La AEPD concluye que Estudio Alcázar cometió una infracción muy grave por tratar datos personales sin base legal (art. 6 RGPD), además de ser consciente de la infracción (art. 83.2.b) RGPD), pues la supervisora del extrabajador le reconoció que esta práctica formaba parte de la metodología implementada para la gestión de zonas.
Además, la inmobiliaria no informó a los titulares de los datos recabados ningún tipo de información sobre dicho tratamiento. Esto supone una vulneración del art. 14 RGPD, el cual establece la obligación del responsable del tratamiento de proporcionar información clara y accesible al interesado cuando los datos personales no han sido obtenidos directamente de él.
Sanción
La AEPD impuso una sanción de 20.000€, que, tras el reconocimiento de su responsabilidad y pago voluntario, quedó reducida a 12.000€.
Conclusión
Este caso pone en evidencia algo fundamental: el nombre del buzón es un dato protegido por ley. Nadie puede recopilar esa información sin el permiso del titular para usarla con fines comerciales. Las empresas tienen la obligación de respetar su privacidad y solo pueden usar sus datos cuando tienen una base legal clara. Si no es así, se enfrentan a sanciones como esta.
Como siempre, cuidad los datos y ¡cuidaos!
Para leer la resolución, haga clic aquí.
