{"id":25639,"date":"2023-07-27T12:17:01","date_gmt":"2023-07-27T10:17:01","guid":{"rendered":"https:\/\/www.lksnext.com\/es\/?post_type=noticias_boletin&p=25639"},"modified":"2023-07-27T12:17:01","modified_gmt":"2023-07-27T10:17:01","slug":"sancion-de-la-aepd-por-el-envio-de-una-oferta-con-datos-personales-de-otra-persona","status":"publish","type":"noticias_boletin","link":"https:\/\/www.lksnext.com\/es\/noticias_boletin\/sancion-de-la-aepd-por-el-envio-de-una-oferta-con-datos-personales-de-otra-persona\/","title":{"rendered":"Sanci\u00f3n de la AEPD por el env\u00edo de una oferta con datos personales de otra persona"},"content":{"rendered":"

La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (en adelante, AEPD) ha sancionado por vulneraci\u00f3n del principio de integridad y confidencialidad y por la infracci\u00f3n de la seguridad del tratamiento a una empresa de cruceros imponiendo una sanci\u00f3n de 15.000\u20ac.<\/p>\n

Los hechos son los siguientes: Con intenci\u00f3n de solicitar informaci\u00f3n general sobre un crucero, la parte reclamante se puso en contacto con la empresa de cruceros. Cinco d\u00edas m\u00e1s tarde, la parte reclamante recibi\u00f3 como respuesta, por error, un correo electr\u00f3nico autom\u00e1tico que inclu\u00eda un documento con una oferta de un crucero dirigida a una persona desconocida, conteniendo, adem\u00e1s, datos personales de esa persona, su acompa\u00f1ante, y detalles del crucero objeto de la oferta (datos personales de terceros). La parte reclamante contest\u00f3 al correo diciendo que no ten\u00eda nada que ver con ello, y, finalmente, la oferta fue anulada, pero no le dieron ning\u00fan tipo de explicaci\u00f3n.<\/p>\n

La empresa de cruceros aleg\u00f3 que el mensaje, fue enviado por error a su direcci\u00f3n de correo electr\u00f3nico.<\/p>\n

La AEPD impone a la empresa de cruceros a la que se reclama:<\/p>\n

    \n
  1. Multa de 10.000 euros<\/strong>, por una infracci\u00f3n del art. 5.1.f) del Reglamento General de Protecci\u00f3n de Datos (principio de integridad y confidencialidad<\/em><\/strong>).<\/li>\n
  2. Multa de 5.000 euros, <\/strong>por una infracci\u00f3n del art. 32 del Reglamento General de Protecci\u00f3n de Datos (seguridad en el tratamiento<\/em><\/strong>).<\/li>\n<\/ol>\n

    Los argumentos en los que descansa la decisi\u00f3n contenida en el cuerpo de la resoluci\u00f3n son los que siguen:<\/p>\n

    Respecto de la infracci\u00f3n de los principios de integridad y confidencialidad<\/strong> previstos en el art. 5.1. f) del RGPD, la AEPD dice que \u201clos datos personales de los afectados fueron indebidamente expuestos a un tercero.\u201d <\/em>La Agencia tambi\u00e9n pone de manifiesto que la empresa de cruceros reclamada no ofreci\u00f3 a la persona reclamante \u201cning\u00fan tipo de explicaci\u00f3n en lo referente a los datos de terceras personas.\u201d <\/em><\/p>\n

    \u00a0<\/em>Adem\u00e1s, y respecto de la alegaci\u00f3n efectuada por la empresa reclamada consistente en manifestar que el incidente consisti\u00f3 en error humano, aislado, y fortuito,<\/u> la Agencia razona que \u201cel hecho de que fuese la actuaci\u00f3n negligente de una empleada no le exime de su responsabilidad en cuanto encargado de la correcta utilizaci\u00f3n de las medidas de seguridad que deber\u00edan haber garantizado la adecuada utilizaci\u00f3n del sistema de registro de datos dise\u00f1ado.\u201d <\/em>Asimismo, \u201cel encargado del tratamiento responde tambi\u00e9n por la actuaci\u00f3n de sus empleados y no puede excusarse en su actuaci\u00f3n diligente, separadamente de la actuaci\u00f3n de sus empleados, sino que es la actuaci\u00f3n \u00abculpable\u00bb de \u00e9stos, consecuencia de la violaci\u00f3n de las medidas de seguridad existentes la que fundamenta la responsabilidad de la empresa en el \u00e1mbito sancionador por actos \u00abpropios\u00bb de sus empleados o cargos, no de terceros.\u201d<\/em><\/p>\n

    Respecto de la infracci\u00f3n del art. 32 RGPD (seguridad en el tratamiento<\/strong>), la AEPD pone de manifiesto que \u201cno se da ninguna explicaci\u00f3n ni se comunica la adopci\u00f3n de medida alguna en cuanto a la brecha de confidencialidad de los datos personales de los clientes a quienes iba destinada la oferta err\u00f3neamente enviada a la parte reclamante<\/em>.\u201d Adem\u00e1s, la AEPD pone de manifiesto que la empresa de cruceros reclamada no hace ejercicio alguno en orden a justificar \u201cla suficiencia de tales medidas para evitar brechas de seguridad similares en el futuro.\u201d<\/em><\/p>\n

    \u00a0<\/em>La resoluci\u00f3n de la AEPD tambi\u00e9n responde a las alegaciones presentadas por la empresa infractora en lo referente a la prescripci\u00f3n y al non bis in idem<\/em>.<\/p>\n

      \n
    • La Agencia argumenta no haber lugar a la prescripci\u00f3n de la infracci\u00f3n, dado que se trata de una infracci\u00f3n permanente y, por tanto, el plazo comenzar\u00e1 a correr desde que finaliz\u00f3 la conducta infractora.<\/li>\n
    • La AEPD interpreta que los hechos \u201cdeterminan la comisi\u00f3n de dos infracciones diferenciadas<\/em>\u201d, y hace un ejercicio de diferenciaci\u00f3n de las conductas en las que la empresa infractora ha incurrido: \u201cpor un lado, no se ha garantizado la confidencialidad de los datos personales de dos clientes(\u2026), que supone una infracci\u00f3n del art\u00edculo 5.1.f) del RGPD y, por otro, se pone de manifiesto la falta de adopci\u00f3n (\u2026) de unas medidas t\u00e9cnicas y organizativas que garanticen la seguridad y confidencialidad del tratamiento, tal y como exige el art\u00edculo 32 del RGPD, al no existir medidas que evitasen el env\u00edo de un correo autom\u00e1tico con datos de clientes a un tercero.<\/em><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

      La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (en adelante, AEPD) ha sancionado por vulneraci\u00f3n del principio de integridad y confidencialidad y por la infracci\u00f3n de la seguridad del tratamiento a una empresa de cruceros imponiendo una sanci\u00f3n de 15.000\u20ac. Los hechos son los siguientes: Con intenci\u00f3n de solicitar informaci\u00f3n general sobre un crucero, la parte […]<\/p>\n","protected":false},"featured_media":0,"template":"","tipo_articulo":[3190],"ambito_geografico":[],"boletin":[4401],"class_list":["post-25639","noticias_boletin","type-noticias_boletin","status-publish","hentry","tipo_articulo-noticias-de-interes","boletin-julio-2023"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/noticias_boletin\/25639","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/noticias_boletin"}],"about":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/types\/noticias_boletin"}],"wp:attachment":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/media?parent=25639"}],"wp:term":[{"taxonomy":"tipo_articulo","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/tipo_articulo?post=25639"},{"taxonomy":"ambito_geografico","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/ambito_geografico?post=25639"},{"taxonomy":"boletin","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/boletin?post=25639"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}