De la mano de los mayores expertos y divididos por sectores y conceptos clave, se analizarán y comentarán las sanciones por incumplimiento del RGPD y de la LOPDGDD impuestas por la AEPD y organismos análogos.
- Análisis 100% práctico de sanciones reales impuestas por organismos de control.
- Dividido por sectores (Banca, seguros, Redes Sociales etc) y por conceptos clave (información, videovigilancia, consentimiento, delegado de protección de datos y datos de salud entre otros) para que el lector pueda encontrar de manera más rápida lo que más le interesa.
- Referencia de la sanción para que pueda ser consultada y análisis del experto de los antecedentes, las alegaciones y la sanción.
Elena y Laura Davara Fernández de Marcos (Coordinadoras) son abogadas expertas en protección de datos y nuevas tecnologías en Davara & Davara.
Destinado a Abogados, Delegados de Protección de Datos, Departamento TIC// Departamento ITC, Ingenieros y Expertos en protección de datos.
Extracto:
Las sanciones más relevantes en materia de protección de datos impuestas tanto por la AEPD como por organismos análogos de otros países analizadas, de manera 100% práctica, por más de 20 autores de reconocido prestigio y experiencia en el ámbito de la privacidad. También se analizan y comentan sentencias relevantes ¡Aprenda cómo aplica e interpreta el RGPD y la LOPDGDD el organismo garante, conociendo casos reales y evitando, así, sanciones para su entidad, ya sea DPO, responsable o asesor jurídico! Una obra diferente, práctica e indispensable para todos los que traten datos personales.
PRÓLOGO
ABREVIATURAS
PRIMERA PARTE
SANCIONES DIVIDIDAS POR SECTORES
CAPÍTULO I
SANCIONES EN EL ÁMBITO LABORAL
JAVIER ÁLVAREZ HERNANDO
I. Jurisprudencia destacada y Resoluciones de la AEPD
I.1. Necesaria evaluación del equilibrio entre el interés legítimo del empresario y la expectativa razonable de privacidad de los trabajadores
I.2. Principios de protección de datos y relaciones laborales
I.3. Procesos de selección de personal. Comunicación del curriculum vitae entre entidades
I.4. Solicitud de datos en los procesos de selección. Los antecedentes penales y certificado de delitos sexuales
I.5. Las relaciones laborales y el principio de exactitud y actualización de los datos
I.6. Cláusulas de confidencialidad y su incumplimiento como causa de despido disciplinario
I.7. Tratamiento del dato de discapacidad de un/a candidato/a en la Administración Pública
I.8. Nulidad de las cláusulas incorporadas en el contrato de trabajo que exigen al trabajador proporcionar el teléfono y correo electrónico
I.9. Comunicaciones empresario-trabajador mediante aplicaciones de mensajería instantánea
I.10. Licitud de la cláusula de un contrato de una empresa de contact-center sobre cesión de imagen de empleados para telemarketing
I.11. Listas negras de trabajadores
I.12. Exigencia a los trabajadores del Banco de España de entregar su declaración de IRPF
I.13. El Registro horario y la huella dactilar como dato biométrico
I.14. Las tarjetas identificativas de los trabajadores en los trabajos de cara al público
I.15. Tratamiento de datos de salud de los trabajadores con el fin de control del absentismo laboral
I.16. Comentarios vertidos en una red social sobre la salud de un empleado constituyen intromisión ilegítima en su derecho a la intimidad personal
I.17. Prevención de riesgos laborales y protección de datos
I.18. Seguridad de los datos y función de las organizaciones sindicales
I.18.1. No se autoriza el uso de teléfonos móviles en el centro de trabajo
I.18.2. Distribución de información sindical en soporte papel y seguridad
I.19. Cesión de datos personales de trabajadores a organizaciones sindicales
I.20. Remisión de información sindical por correo electrónico a los trabajadores
I.21. Publicación de información sindical que incorpore datos personales de trabajadores en los tablones de anuncios o en la intranet corporativa
I.22. Comunicación de datos de trabajadores a los representantes sindicales y, en particular, al comité de empresa
II. Impacto desde una visión jurisprudencial
II.1. Videovigilancia y grabación de sonidos en el ámbito laboral
II.1.1. El principio de proporcionalidad de la medida de videovigilancia y grabación de sonidos en el centro de trabajo
II.1.2. Información a los trabajadores y sus representantes, acerca de la instalación de sistemas de videovigilancia y grabación de sonidos
II.2. Grabación de sonidos en el centro de trabajo
II.3. Sistemas de geolocalización de los trabajadores
II.4. Quiebras de seguridad en el tratamiento de los datos: reconocimientos médicos de trabajadores esparcidos en la vía pública
II.5. El derecho a la desconexión digital
II.6. Jurisprudencia que ha configurado el control de los dispositivos tecnológicos en la relación laboral
II.6.1. Doctrina jurisprudencial en España respecto al control de los dispositivos puestos a disposición de los trabajadores
II.7. Jurisprudencia del Tribunal Europeo de Derechos Humanos: la expectativa razonable de intimidad y privacidad en el ámbito laboral
II.7.1. Expectativa razonable de intimidad y privacidad
II.7.2. Caso Barbulescu I
II.7.3. Caso Barbulescu II
II.7.4. Caso López Ribalda y otros I
II.7.5. Caso Libert
II.7.6. Caso López Ribalda y otros II
CAPÍTULO II
SANCIONES EN LA ADMINISTRACIÓN PÚBLICA
CONCEPCIÓN CAMPOS ACUÑA
I. Introducción
II. La posición de las Administraciones Públicas como sujetos obligados a la protección de datos
II.1. Las Administraciones Públicas ante la protección de datos personales
II.2. Régimen sancionador
III. Resoluciones de impacto en la gestión pública analizadas
IV. Conclusiones: algunos apuntes sobre el modelo de gobernanza de los datos en la gestión pública
CAPÍTULO III
SANCIONES SOBRE EL USO DE REDES SOCIALES
LAURA DAVARA FERNÁNDEZ DE MARCOS
I. Introducción
II. Concepto estudiado
III. Resoluciones de la AEPD analizadas
III.1. Procedimiento N.°: PS/00595/2012: Suplantación de identidad en Red Social
III.2. Procedimiento N.° PS/00094/2018: envío de información personal por parte de un pediatra a través de WhatsApp a terceros
III.3. Procedimiento No: PS/00195/2019 por haber sido incluido en grupo de WhatsApp sin consentimiento
III.4. Procedimiento No: PS/00334/2019: Difusión de imágenes íntimas en estado de WhatsApp sin consentimiento
III.5. PS/00383/2019: envío de WhatsApp a un móvil al que se tuvo acceso por cuestiones profesionales
III.6. PS/00425/2019: enviar por WhatsApp un documento en el que constan datos personales de tres personas
III.7. PS-00124-2020: Uso de datos obtenidos vía profesional para ponerse en contacto por WhatsApp con fines personales
III.8. PS/00178/2020: uso de imagen de menor con fines comerciales contando con consentimiento para fines de difusión
III.9. PS/00405/2020: difusión de la imagen de un niño de cuatro años por parte de una Asociación Cultural sin consentimiento de los padres
III.10. N.°: PS/00048/2021: Publicación en Twitter de una demanda de acto de conciliación que contiene datos personales
IV. Sentencias de interés
V. Conclusión
CAPÍTULO IV
SANCIONES EN EL ÁMBITO SANITARIO
RICARDO DE LORENZO APARICI
I. Introducción
II. Material examinado: Resoluciones
II.1. Resoluciones sancionadoras AEPD
II.1.1. Procedimiento sancionador PS/00187/2019 por infracción del artículo 5.1.a) del RGPD
II.1.2. Procedimiento sancionador PS/00074/2020 por infracción del artículo 5.1.f) del RGPD, en relación con el artículo 5 de la LOPDGDD
II.1.3. Procedimiento n.° E/10681/2019. Requerimiento de información con objeto de aclarar los términos de la notificación de Brecha de seguridad presentado por el HOSPITAL en fecha 25 de octubre de 2019 ante la AEPD
II.2. Resoluciones sancionadoras Organismos Europeos
II.2.1. Autoridad de Protección de Datos Austriaca (“Datenschutzbehörde” o “DSB”). Procedimiento sancionador DSB-D213.692 / 0001-DSB / 2018 por infracción del artículo 37 del RGPD
III. Conclusiones
CAPÍTULO V
SANCIONES A SINDICATOS Y PARTIDOS POLÍTICOS
JOSEP JOVER
I. Un nuevo comienzo, el Reglamento (UE) 2016/679
II. Un nuevo comienzo (bis), el Reglamento (UE) 2018/1807
III. Un nuevo comienzo (ter), la Directiva (UE) 2019/1024
IV. Un nuevo comienzo (quater), la comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. Una Estrategia Europea de Datos
V. La sentencia en el asunto C-658/19, que tiene por objeto un recurso por incumplimiento interpuesto, con arreglo a los artículos 258 TFUE y 260 TFUE, apartado 3 por parte del Reino de España
VI. Las sanciones a partidos políticos y a sindicatos españoles dentro del marco de la normativa que nace con el RGPD publicadas en webs europeas
VII. Las Sanciones a partidos políticos en la web de la Agencia Española de Protección de Datos
VIII. In fine
CAPÍTULO VI
SANCIONES EN EL SECTOR SEGUROS Y REASEGUROS
MARCOS MARÍA JUDEL MELÉNDREZ
I. Introducción
II. Sector estudiado
III. Resoluciones analizadas
IV. Conclusiones
CAPÍTULO VII
SANCIONES RELACIONADAS CON FUERZAS Y CUERPOS DE SEGURIDAD DEL ESTADO
JUAN ANTONIO PAVÓN PÉREZ
ALONSO RAMÓN DÍAZ
I. Introducción
II. Sanciones administrativas en protección de datos y FFCCS
III. Análisis de resoluciones sancionadoras
III.1. Procedimiento sancionador PS/00124/2019. Reclamante: Policía Local de Alcobendas. Sancionado: Ayuntamiento de Alcobendas. Temática: GPS como forma de control laboral o como medida de cumplimiento de las tareas asignadas a los componentes del Cuerpo de la Policía Local. Desvío de la finalidad del tratamiento
III.2. Procedimiento sancionador PS/00027/2019. Reclamante: Agente Cuerpo Nacional de Policía. Sancionado: Dirección General de la Policía. Temática: Uso de imágenes del sistema de videovigilancia de detenidos instalado en la Comisaria para incoar procedimiento disciplinario. Desvío de la finalidad propia del sistema videovigilancia. Ausencia de información a los agentes finalidad tratamiento. Principio de proporcionalidad
III.3. Procedimiento sancionador PS/00420/2018. Reclamante: Policía Local de San Fernando. Sancionado: Ayuntamiento de San Fernando. Temática: Acceso universal e indiscriminado a los datos de carácter personal del sistema informático de la Policía Local por parte de todos los agentes. Datos especialmente protegidos (Salud) de agentes. Principio de Seguridad. Derecho del policía a la protección de datos en su relación estatutaria con la Administración
III.4. Procedimiento sancionador PS/00071/2020. Reclamante: Defensor del Pueblo. Sancionado: Ayuntamiento de Ribaforada (Navarra). Temática: Citación de ciudadano extranjero con el pretexto ficticio de realizar gestiones para su empadronamiento cuando el fin pretendido era su detención por agentes policiales para su expulsión. Principios de licitud, lealtad y transparencia
III.5. Procedimiento sancionador PS/00576/2017. Reclamante: Policía Local del Ayuntamiento de la Font de la Figuera. Sancionado: Ciudadano. Temática: Grabación de imágenes de agentes de la autoridad en la vía pública y posterior distribución a través de la red de mensajería WhatsApp
IV. Conclusiones
CAPÍTULO VIII
SANCIONES A COMUNIDADES DE PROPIETARIOS
F. JAVIER SEMPERE SAMANIEGO
I. Introducción
II. Consideraciones generales sobre protección de datos en comunidades de propietarios
III. Resoluciones sancionadoras sobre publicación de datos
IV. Resoluciones sancionadoras sobre videovigilancia
V. Resoluciones sancionadoras sobre administradores de fincas
SEGUNDA PARTE
SANCIONES DIVIDIDAS POR CONCEPTOS
CAPÍTULO IX
SANCIONES SOBRE COMUNICACIONES COMERCIALES
BORJA ADSUARA VARELA
I. Introducción
I.1. Directiva de Comercio electrónico (2000)
II. Resoluciones
II.1. Procedimiento N.°: PS/00089/2021: ORANGE-JAZTEL
II.2. Procedimiento N.°: PS/00421/2020: BANCO DE SABADELL
II.3. Procedimiento N.°: PS/00041/2020: AGENTES DE LA PROPIEDAD INDUSTRIAL
II.4. Procedimiento N.°: PS/00184/2019: VODAFONE
II.5. Procedimiento N.°: A/00008/2019: OVANIE AGENCY/SANITAS
III. Conclusiones
CAPÍTULO X
SANCIONES SOBRE ENCARGADOS DEL TRATAMIENTO
SANDRA AUSELL ROCA
I. Introducción
II. Concepto estudiado
II.1. La figura del Encargado en el RGPD y su relación con el Responsable
II.2. Régimen sancionador aplicable a la figura el encargado de tratamiento
III. Conclusiones
CAPÍTULO XI
SANCIONES SOBRE MEDIDAS DE SEGURIDAD
NOEMÍ BRITO IZQUIERDO
I. El concepto de la seguridad y confidencialidad adecuadas. Enfoque de Riesgo
II. Algunos casos a partir de resoluciones sancionadoras. Lecciones aprendidas y recomendaciones asociadas
II.1. Primer caso de uso. Procedimiento N.° PS/00212/2019. Sanción impuesta a VODAFONE ONO, S.A.U., por cuantía de 60.000 €, por infracción del artículo 32 del RGPD
II.1.1. Antecedentes
II.1.2. Hechos probados
II.1.3. Fundamentos de derecho
II.1.4. Lecciones aprendidas y recomendaciones asociadas
II.2. Segundo caso de uso. Procedimiento N.° PS/00185/2020: Sanción impuesta a MIGUEL IBÁÑEZ BEZANILLA S.L, por cuantía de 1.000 €, por infracción del artículo 32 del RGPD, falta de protocolo https en la web
II.2.1. Antecedentes
II.2.2. Hechos probados
II.2.3. Fundamentos de derecho
II.2.4. Lecciones aprendidas y recomendaciones asociadas
II.3. Tercer caso de uso. Procedimiento N.° PS/00322/2020: Expediente sancionador frente a LOSADA ADVOCATS S.L., sanción de APERCIBIMIENTO por infracción del artículo 32 del RGPD y multa de cuantía 10.000 € por infracción del artículo 5, f) RGPD
II.3.1. Antecedentes
II.3.2. Hechos probados
II.3.3. Fundamentos de derecho
II.3.4. Lecciones aprendidas y recomendaciones asociadas
II.4. Caso de uso cuarto. Sanción de la CNIL: falta de implementación de medidas de autenticación de usuarios. Provoca una brecha de seguridad. Sanción por cuantía de 400.000 €
II.4.1. Antecedentes
II.4.2. Hechos
II.4.3. Fundamentos de derecho
II.4.4. Lecciones aprendidas y recomendaciones asociadas
III. Conclusiones finales
CAPÍTULO XII
SANCIONES SOBRE COOKIES
JORGE CAMPANILLAS
I. Una breve introducción al mundo de las cookies
II. Primeras resoluciones sancionadoras en materia de cookies en España
III. Las Cookies y el RGPD
III.1. La instalación o descarga de las cookies se debe realizar posteriormente al consentimiento informado
III.2. Consentimiento granular para la instalación de las cookies
III.3. Distinción entre cookies técnicas y cookies no necesarias
IV. Conclusiones
CAPÍTULO XIII
SANCIONES RELACIONADAS CON EL EJERCICIO DE DERECHOS
EDUARD CHAVELI DONET
I. Introducción
II. Concepto estudiado
II.1. Sobre los derechos ARSOPL y el procedimiento para su ejercicio
II.2. Aspectos relativos al régimen sancionador vinculado a los derechos ARSOPL
III. Resoluciones analizadas
III.1. Procedimientos de archivo
III.1.1. Necesidad o no de aportar el DNI o documento identificativo equivalente
A. Procedimiento N.°: E/09130/2018
III.1.2. Archivo por producirse un error y atenderse el derecho… aunque sea fuera de plazo
A. Resolución relativa al Procedimiento N.°: E/09287/2018
B. Expediente N.°: E/09289/2018
C. Resolución relativa al Procedimiento N.°: E/03598/2019
III.1.3. Conservación y necesidad de mantener los datos
A. Procedimiento N.°: E/09433/2018
B. Procedimiento N.°: E/10492/2018
III.2. Procedimientos en los que se ha producido sanción
III.2.1. La sanción con mayor importe en cuanto a ejercicio de derechos ARSOPL. Procedimiento N.°: PS/00451/2019
IV. Conclusiones
CAPÍTULO XIV
SANCIONES RELATIVAS AL DEBER DE INFORMACIÓN
ELENA DAVARA FERNÁNDEZ DE MARCOS
I. Introducción
II. Concepto analizado
III. Resoluciones de la AEPD analizadas
III.1. Procedimiento sancionador PS/00268/2020: sitio web con formulario de contacto que carece de política de privacidad
III.2. PS/00477/2019: no cumplir adecuadamente (con detalle, con transparencia, con claridad…) con el deber de información en el tratamiento de datos por una entidad bancaria
III.3. PS/00437/2020: no ofrece información sobre finalidad del tratamiento, ejercicio de derechos etc.
IV. Conclusión
CAPÍTULO XV
SANCIONES SOBRE EL CONSENTIMIENTO EN MARKETING
TERESA DEL CASAR XIMÉNEZ
I. Introducción
II. Preguntas y (mis) respuestas
II.1. ¿Qué es el marketing?
II.2. ¿Por qué es necesario el marketing?
II.3. ¿Hablan el mismo idioma los departamentos legales y de cumplimiento que el negocio?
II.4. ¿Qué es el consentimiento?
II.5. ¿Por qué existe esa diferencia de conceptos entre las diversas áreas entre lo que es marketing y lo que es servicio?
II.6. ¿Cuáles son las consecuencias del incumplimiento para el individuo y la empresa?
II.7. ¿Cuáles son los siguientes retos?
II.8. ¿Qué ocurre en las organizaciones nuevas versus las que tienen ya un largo recorrido?
III. Resoluciones analizadas
III.1. Resolución de la Autoridad Belga de Protección de Datos relativa a Family Service/ N.D.P.K. nv
III.1.1. Hechos
III.1.2. Fundamentos de derecho
III.1.3. Atenuantes
III.1.4. Agravantes
III.1.5. Conclusiones
III.2. Resolución de la Agencia Española de Protección de Datos relativa a La Liga Nacional de Fútbol Profesional (La Liga)
III.2.1. Hechos
III.3. Fundamentos de derecho
III.3.1. Atenuantes
III.3.2. Agravantes
III.3.3. Conclusiones
III.4. Resolución de la Autoridad Italiana de Protección de Datos (Garante) relativa a Vodafone Italia S.p.A
III.4.1. Hechos
III.4.2. Fundamentos de derecho
III.4.3. Atenuantes
III.4.4. Agravantes
III.4.5. Conclusiones
IV. Conclusión final
CAPÍTULO XVI
SANCIONES DERIVADAS DEL USO DE INTERÉS LEGÍTIMO COMO BASE LEGITIMADORA
JORGE GARCÍA HERRERO
ELENA GIL GONZÁLEZ
I. Introducción
CAPÍTULO XVII
SANCIONES RELATIVAS A LA INCLUSIÓN EN SISTEMAS DE INFORMACIÓN CREDITICIA
ANTONIO LINARES GUTIÉRREZ
I. Introducción
II. La deuda cierta
III. La suplantación de identidad
IV. El requerimiento
V. La notificación de la inclusión de los datos en los SICs
VI. La consulta de los sistemas de información crediticia
VII. La responsabilidad del titular de los ficheros de cumplimiento de obligaciones económicas
VIII. El derecho de indemnización
CAPÍTULO XVIII
SANCIONES SOBRE PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO
RICARD MARTÍNEZ MARTÍNEZ
I. Introducción. La protección de datos desde el diseño y por defecto y el reto de la “accountability”
II. El despliegue de la protección de datos desde el diseño y por defecto
II.1. El registro de actividades de tratamiento: un elemento central
III. Protección de datos desde el diseño y por defecto en el softlaw
III.1. Las recomendaciones de la Agencia Noruega de Protección de Datos (Datatilsynet)
III.2. Las directrices del Comité Europeo de Protección de Datos (CEPD)
III.3. Guía de privacidad desde el diseño de la Agencia Española de Protección de datos
III.4. Otros recursos
IV. Las resoluciones de la Agencia Española de Protección de Datos
IV.1. Las resoluciones de la Agencia Española de Protección de Datos
IV.1.1. Transparencia y condiciones de uso
IV.1.2. Seguridad desde el diseño
IV.1.3. Videovigilancia y minimización de datos
IV.1.4. Diseño de aplicaciones: la relevancia del softlaw
V. Breve conclusión
CAPÍTULO XIX
SANCIONES DESDE LA ÓPTICA DEL DERECHO A INDEMNIZACIÓN
IÑIGO NAVARRO MENDIZABAL
I. Responsabilidad civil por daños sufridos por una vulneración de PD
I.1. Planteamiento
I.2. Naturaleza de la RC
II. Daños
II.1. Concepto de daño
II.2. Los daños más habituales
II.2.1 Daños en el ámbito laboral
II.2.2. Daños por cesión no consentida de datos y la elaboración de listas negras
II.2.3. Daños por la elaboración de perfiles
II.2.4. Daños por inclusión indebida en un registro de morosos
II.2.5. Daños por el uso de datos erróneos
II.2.6. Daños por vulnerar el derecho al olvido
III. Cuantía de la indemnización
IV. Legitimación activa
V. Legitimación pasiva. Los posibles responsables
V.1. Responsables y encargados del tratamiento
V.2. Posible responsabilidad de los buscadores de internet
V.3. Responsabilidad del titular del fichero de morosos
V.4. Responsabilidad del titular de una hemeroteca digital
VI. Procedimiento, acción y prueba
CAPÍTULO XX
SANCIONES SOBRE TRANSFERENCIAS INTERNACIONALES DE DATOS
ALFONSO ORTEGA GIMÉNEZ
I. Planteamiento
II. Breve aproximación a las transferencias internacionales de datos en el RGPD
III. Régimen de las transferencias internacionales de datos en la LOPDGDD
IV. Procedimientos sancionadores abiertos por la AEPD en el periodo 2010-2020. Análisis práctico de algunos procedimientos sancionadores en materia de transferencias internacionales de datos
V. Reflexiones finales
CAPÍTULO XXI
SANCIONES RELACIONADAS CON BRECHAS DE SEGURIDAD
XAVIER RIBAS
I. Introducción
II. Contexto normativo
III. Resoluciones analizadas
III.1. Procedimiento N.° PS-00336-2018
III.1.1. Resumen
III.1.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.1.3. Conclusiones
III.2. Procedimiento N.° E-01562-2020
III.2.1. Resumen
III.2.2. Análisis de las medidas
A) Medidas previas
B) Medidas posteriores
III.2.3. Conclusiones
III.3. Procedimiento N.° E-06442-2019
III.3.1. Resumen<
