La AEPD ha impuesto una sanción de 260 000 euros a la compañía Camerdata por el tratamiento ilícito de datos personales de más de 1,6 millones de autónomos en España.
La asociación Institut per a la Cultura Democràtica a l’Era Digital presentó una reclamación a finales del 2022, en la que se alertaba de que los datos personales de autónomos ―nombre, DNI, teléfono, dirección electrónico y dirección postal― quedaban expuestos en internet tras darse de alta en el censo de actividades económicas de la AEAT.
La compañía sancionada recibía la información como consecuencia de un contrato (vigente desde 2016) con la Cámara de Comercio de España para recibir una copia del Censo Básico de Empresas, que incluía datos de empresarios individuales.
Aunque el contrato prohibía expresamente la cesión directa de la base de datos, se permitía que Camerdata los incorporara a sus propios sistemas de tratamiento. A partir de ahí, los utilizaba con fines comerciales, como campañas de márquetin, análisis de solvencia (scoring crediticio) y prevención del fraude. Estos datos eran posteriormente cedidos a terceros, incluyendo empresas como Axesor, Datacentric, Iberinform, Informa y Equifax. La empresa denunciante aportó capturas de pantalla de los resultados obtenidos tras una búsqueda por nombre y apellido de un autónomo, cuyos datos eran ilegibles por estar sombreados, pero que se accede a ellos al entrar en alguno de los enlaces.
Además, Camerdata reconstruía el NIF de los autónomos (que no se les entregaba en texto plano) a partir de un hash MD5.
La AEPD determina que se incumplen los siguientes artículos y define las cuantías de las sanciones correspondientes :
- Artículo 6.1 del RGPD (Licitud del tratamiento): sanción de 200 000 €. La AEPD concluye que Camerdata no contaba con una base jurídica válida para tratar los datos personales. El interés legítimo alegado no se sostiene, ya que el tratamiento excedía la finalidad del censo público.
- Artículo 14 del RGPD (Derecho de información): sanción de 60 000 €. Camerdata no informó adecuadamente a los interesados. La AEPD rechaza la alegación de «esfuerzo desproporcionado» y exige una comunicación clara y personalizada.
La AEPD también ordena la eliminación de los datos personales de los autónomos que tengan origen en la cesión por parte de la Cámara de Comercio, así como informar a aquellos autónomos de los cuales mantenga información mediante un anuncio personalizado, sin que sea suficiente un anuncio general en la página web de las cámaras de comercio.
Fuente: https://www.aepd.es/documento/ps-00146-2024.pdf
░ Imagen de Olia Danilevich en Pexels
