La AEPD sanciona a un despacho por enviar datos personales sin consentimiento

La Agencia Española de Protección de Datos (AEPD) ha sancionado a un despacho de abogados por el envío de datos personales a una empresa sin haber tenido el consentimiento de la persona a la que se refieren los mismos. La sanción ha sido de 2.000 euros y la empresa ha accedido a pagarlos en período voluntario, pero sin reconocimiento de culpa, ya que afirma que su actuación se ampara en el artículo 24 de la CE.

Vulneración del RGPD en la licitud del tratamiento

Lo que la AEPD sostiene que se ha vulnerado es el artículo 6 del Reglamento General de Protección de Datos (RGPD) sobre la licitud del tratamiento, puesto que la persona perjudicada afirmaba que no tenía conocimiento del envío de ese burofax ni había prestado su consentimiento. Sin dicho conocimiento ni consentimiento, sus datos personales llegaron a una empresa con la que, según la persona cuyos datos personales se vulneraron, no tenía relación de ningún tipo: ni laboral ni accionarial ni societaria.

Requerimiento informativo

Ante tales hechos, se solicitó un requerimiento informativo a la entidad contra la que se reclamó. Si bien el despacho afirma el envío de dichos datos personales, también indica que se llevó a cabo en nombre de su cliente, que es otra empresa de la que sí fue socio con anterioridad y contra la cual se ha dirigido una querella. Sin embargo, tanto para la AEPD como para el reclamante, lo relevante de la cuestión es que la información personal haya llegado a otra empresa sin el conocimiento del perjudicado.

¿Cuál es la posición del despacho?

Una vez que conoces los hechos producidos y la sanción interpuesta, lo primero que te vamos a indicar sobre la posición del despacho es su protocolo a seguir. El que adoptó fue el de brecha de seguridad y/o fuga de información. Sin embargo, después de que llevaran a cabo una auditoría interna, concluyeron que no había habido ni filtración ni fuga ni personas o entidades afectadas, por lo que no podía haber responsable.

Igualmente, el despacho indica que el tratamiento de los datos se llevó a cabo en defensa de los intereses y de los derechos del cliente.

Un tratamiento legítimo de los datos personales

De acuerdo con el despacho se realizó un tratamiento correcto de los datos en base a la obtención de los mismos por interés legítimo, puesto que se aportaron en calidad de representación de la persona jurídica. Además, sostienen que el tratamiento se basa en el artículo 6.1.f) del RGPD, resaltando la ya mencionada tutela judicial efectiva del art. 24 de la CE para legitimar dicho tratamiento.

Indica a su vez el despacho que, previamente a las sanciones, la AEPD ha tenido la oportunidad de estudiar este tipo de concurrencias entre ambos derechos fundamentales: la protección de datos personales y la tutela judicial efectiva. De hecho, los abogados de la parte contraria no tuvieron sanción similar alguna por el tratamiento de datos personales basándose, igualmente, en el derecho del artículo 25 CE.

Resolución del caso: sanciones

Finalmente, la resolución del caso que te acabamos de exponer fue el inicio de un procedimiento sancionador por parte de la directora de la AEPD con la cuantía de 2.000 €. El despacho renunció a cualquier acción o recurso en vía administrativa, acogiéndose al pago voluntario por cuantía de 1.600 €, no obstante, sin reconocimiento de culpa.

La AEPD marca así un posible precedente con respecto a su actuación sancionadora en defensa de los datos personales de las personas físicas y resaltando la importancia de la obtención del consentimiento. La licitud del tratamiento no debe interpretarse de forma extensiva y siempre se debe mantener la correcta ponderación de otros derechos con el de la protección de datos.

imagen