En mayo de 2023, la AEPD recibió una reclamación contra Atrium Lex SFC S. L., en que la parte reclamante alegaba que esta entidad solicitó copia del DNI sin informar sobre el tratamiento que iba a hacer de sus datos. La AEPD solicitó a Atrium Lex que informara de su actuación sobre dicho tratamiento, y en diciembre del mismo año inició el procedimiento sancionador por presunta infracción de los artículos 13 y 32.1 del RGPD, con sendas multas de 50 000 €.
La parte reclamante había solicitado por correo electrónico información sobre diversos proyectos inmobiliarios en los que era inversora, y Atrium le había pedido copia de su documento identificativo para cotejarlo con el Libro de Registro de Socios y facilitarle dicha información.
Primera obligación incumplida: infracción del artículo 13 del RGPD
La reclamación se basaba en la infracción del artículo 13 del RGPD, pues, como administrador, Atrium no solo es el encargado de los datos, sino el responsable de ellos, y el artículo 13 dice precisamente que dicho responsable debe informar sobre la finalidad del tratamiento de los mismos, hecho que no ocurrió en el momento de la solicitud del DNI.
En alegaciones a la propuesta de resolución, Atrium reclama que dicho tratamiento no les corresponde a ellos como encargados, sino al responsable de los datos. Sin embargo, el artículo 33 de la LOPDGDD establece que se considera responsable del tratamiento quien utilice los datos para sus propias finalidades.
Segunda obligación incumplida: infracción del artículo 32.1 del RGPD
El artículo 32.1 del RGPD presuntamente vulnerado por Atrium Lex rige que «el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo», que incluya seudonimización y cifrado de datos personales, garantía de la confidencialidad, capacidad de restaurar el acceso a los datos personales, y un proceso de verificación de la eficacia de las medidas técnicas y organizativas. La AEPD indicó que la falta de medidas técnicas y organizativas adecuadas, y la solicitud del DNI por correo electrónico, demuestran ausencia de diligencia en la actuación.
Vulneración del principio de proporcionalidad
Atrium Lex solicitó que se aplicara el principio de proporcionalidad a la sanción, pero la resolución consideró las sanciones acordes a la gravedad de las infracciones, la importancia de los hechos y las circunstancias atenuantes, sin justificación para reducirlas, con fundamento en el artículo 83.1 del RGPD, que previene que las multas deben ser efectivas, proporcionadas y disuasorias.
El uso del correo electrónico para enviar la copia escaneada del DNI no es una medida adecuada para proteger los derechos y libertades de las personas físicas.
RESUMEN DE LAS SANCIONES
Infracción del artículo 13 del RGPD
— Naturaleza y gravedad: Omisión del deber de informar al afectado sobre el tratamiento de sus datos personales.
— Grado de cooperación: La parte reclamada no respondió a los requerimientos de la AEPD.
— Intencionalidad o negligencia: Falta de diligencia en el tratamiento de los datos del reclamante.
— Vinculación con la actividad: La actividad de la parte reclamada está vinculada con el tratamiento de datos personales.
Infracción del artículo 32.1 del RGPD
— Naturaleza y gravedad: Ausencia de medidas técnicas y organizativas adecuadas, provocando falta de diligencia.
— Grado de cooperación: La parte reclamada no respondió a los requerimientos sobre medidas de seguridad.
— Intencionalidad o negligencia: Falta de diligencia en la verificación de identidad mediante métodos seguros.
— Vinculación con la actividad: La actividad de la parte reclamada está vinculada con el tratamiento de datos personales. En base a estas circunstancias, se considera adecuado establecer una sanción de 50 000 euros por cada infracción, totalizando 100 000 euros.
Fuente: https://www.aepd.es/documento/ps-00457-2023.pdf?trk=public_post_comment-text
░ Imagen de Maksim Goncharenok en Pexels
