Ricard Castellet

La AEPD multa a una abogada para reutilizar documentos con datos de clientes en el reverso. La letrada, que afronta una sanción de 2.000 euros, aprovechó papel usado que contenía información personal de nuestros clientes.

Siempre es bueno reutilizar y reciclar cualquier consumible y el papel es, todavía, uno de los más importantes en este aspecto. Tradicionalmente, además, en los despachos de abogados se ha utilizado mucho papel por razones obvias – escritos de todo tipo, comunicados de los juzgados, copias para todas las partes, etc.- Por razón de la profesión, el abogado necesita mucho papel y es práctica habitual reciclar todo el papel posible.

Pero las cosas están cambiando. La transformación digital, que ha avanzando mucho durante la pandemia, es una revolución imparable. Pero hasta que no esté implantada completamente debemos tener cuidado y observar cuidadosamente la legislación vigente, en este caso, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).

La AEPD considera que la actuación de la letrada supone, precisamente, una vulneración del artículo 32 de este Reglamento. La norma en cuestión obliga a los responsables de tratamiento de datos a «aplicar medidas técnicas y organizativas para garantizar el nivel de seguridad adecuado». Para ello ha fijado una sanción de 2.000 euros.

Según recoge la resolución, la abogada usó papel que contenía información personal de otros clientes, incluso un menor de edad, para convocar una reunión de inquilinos. Papel que en el reverso aparecían datos de terceros referidas a procedimientos anteriores, lo que suponía hacer accesible estos datos a terceros, sin consentimiento de los titulares.

El artículo 32 del RGPD, en el marco de la Seguridad de los datos personales, apunta las medidas a tomar para garantizar un nivel de seguridad adecuado al riesgo como, por ejemplo, la seudonimización y el cifrado, garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas, la capacidad de restaurar los datos y el acceso a la información en caso de incidente y un proceso de verificación y evaluación de la eficacia de las medidas implementadas. Aplicando estas medidas minimizaremos los riesgos y evitaremos las sanciones.

Porque 2.000 euros es una sanción relativamente pequeña. El equivalente, aproximadamente a 625 paquetes de 500 hojas DIN A4. Y se pueden recuperar en el próximo asunto que nos encarguen. Pero lo peor, como siempre, es la reputación. ¿Confiaríamos nuestros asuntos más importantes a un profesional que no tiene cuidado de los datos personales y de la privacidad de sus clientes? Es más, ¿confiaríamos en un abogado que no cumple la ley en su actividad?

Imagen Pixabay

El anunciante es responsable de la publicidad aunque  la haya externalizado. La sala tercera del contencioso administrativo estima que aunque es subcontrate a una empresa externa para las Campañas Publicitarias ESTO no elimina la Responsabilidad del anunciante.

Lo ha dictaminado el Tribunal Supremo. La externalización de la publicidad no exime a las empresas de la obligación que tienen de excluir a los clientes que no la quieren recibir. Confirma así una multa de 40.000 € a Mutua Madrileña por enviar anuncios a un cliente que expresamente había rechazado el uso de sus datos.

Dice la Sala Tercera que aunque se subcontrate a una empresa externa para los Campañas Publicitarias, no se elimina la Responsabilidad de la empresa anunciante.

El cliente, que tenía tres pólizas de seguro en la Mutua, contaba con 2 Cuentas de correo electrónico inscritas en la Lista Robinson (Servicio de exclusión publicitaria) desde enero de 2012. Según a los hechos probados en el pleito, el 20 de diciembre de 2011 ejerció sume derecho de oposición al tratamiento de sus  datos personales ante Mutua Madrileña, en una comunicación a la que sólo autorizaba a la compañía a que utilizara sus datos personales cuando resultara imprescindible para el desarrollo de la relación contractual, excluyendo «tratamientos con fines publicitarios o de prospección comercial,» la realización de segmentaciones «,» estudios de marketing «o» campañas publicitarias «. A pesar de esto, el denunciante continuó recibiendo comunicaciones comerciales.

Mutua Madrileña, en recurso, alegó que haber facilitado a la empresa de publicidad un fichero de exclusión con clientes que no querían publicidad hubiera supuesto una cesión consentida de datos. Y que la empresa contratista asumía como propio el cumplimiento de las obligaciones en materia de protección de datos.

El Tribunal rechaza los argumentos para que MM no adoptó ninguna medida cautelar para evitar el envío de publicidad y que según la normativa de protección de datos, el anunciante está obligado a comunicar las solicitudes del derecho de oposición que se hayan ejercido a la empresa que hace la campaña publicitaria.

En resumen, las empresas deben estar atentas al ejercicio de derechos por parte del usuario (por lo que deben tener los correspondientes protocolos) y hacerlos efectivos. Y por su parte, las empresas de publicidad, en los contratos de tratamiento de datos, deben tener presente circunstancias con la recogida aquí y estar vigilantes para que, aunque no acabe en sanción, su reputación se puede ver perjudicada.

Han comenzado a aparecer ofertas de trabajo en las que se pide a los candidatos información sobre si han pasado el coronavirus y desarrollado anticuerpos como requisito para acceder al puesto de trabajo propuesto. La Agencia Española de Protección de Datos (AEPD) ya ha salido al paso con un comunicado en el que advierte, como no puede ser de otro modo, que estas prácticas constituyen una vulneración de la normativa de protección de datos aplicable.

Según explica la AEPD, la información de haber sufrido el coronavirus y desarrollado anticuerpos de esta enfermedad es un dato personal relativa a la salud, que el Reglamento General de Protección de Datos (RGPD) califica de categoría especial en su artículo 9 , por lo que su recogida y utilización por la posible empresa empleadora está sujeta a la normativa de protección de datos, fundamentalmente el citado RGPD y la Ley Orgánica de protección de datos personales y garantía de los derechos digitales (LOPDPGDD), que resultan plenamente aplicables.

Para que se pueda llevar a cabo el tratamiento, el RGPD exige fundamentarlo en el consentimiento del interesado. Este consentimiento debe consistir en una manifestación de voluntad libre, específica, informada e inequívoca. Pero en el caso que nos ocupa, la Agencia entiende que no hay verdadera o libre elección o no se puede denegar o retirar el consentimiento sin sufrir un perjuicio o cuando haya un desequilibrio claro entre las partes, como sería en este caso. Cuando una persona va a buscar trabajo, la mayoría de veces se encuentra en un situación de inferioridad y vulnerabilidad que impide el consentimiento libre que exige la normativa.

Además de no existir base lícita, la finalidad tampoco sería legítima para que la información sobre la inmunidad al Covid-19 daría lugar a una diferencia de trato que no obedece a una justificación objetiva y razonable.

Por último, la Agencia afirma que esta información no debe incluirse en el currículo para que la empresa destinataria tendría que suprimirla para no infringir la normativa de protección, lo que podría suponer la destrucción del currículo. 

Parece claro que los efectos del coronavirus extenderán durante meses y nos darán muchas sorpresas. Y la mayoría desagradables. Tendremos que desempolvar nuestro particular manual de resiliencia aplicada para superarlos.

Imagen Pixabay