Noticias y Novedades

LA AEPD SANCIONA A UNOS GRANDES ALMACENES POR NO INFORMAR SOBRE LAS EMPRESAS DEL GRUPO A LAS QUE CEDÍA DATOS PERSONALES

La Audiencia Nacional ha desestimado el recurso contencioso-administrativo interpuesto por una empresa de grandes almacenes contra una resolución de la Agencia Española de Protección de Datos que imponía una sanción de 10.000 euros por recabar datos personales sin facilitar a sus titulares la información que señala la LOPD. En concreto, no informaba sobre las empresas del Grupo a las que cedía los datos personales, ni tampoco los concretos sectores de actividad de los que iba a recibir publicidad el cliente. La sentencia de la Audiencia Nacional de 22 de diciembre de 2017 (Rec. 246/2016) (LA LEY 197859/2017) ha venido a confirmar una Resolución de la Directora de la Agencia Española de Protección de Datos por la que se acordaba imponer a una empresa de grandes almacenes una multa de 10.000 euros por la comisión de una infracción del artículo 5.1 LOPD (LA LEY 4633/1999), en relación con los artículos 15 y 45.1.b) del Real Decreto 1720/2017, infracción tipificada como leve en el artículo 44.2.c) de la citada Ley Orgánica. Dicha infracción consistió en que uno de los departamentos de los grandes almacenes no ofrecía en el formulario de recogida de datos de los clientes de su página web información sobre cuáles eran las empresas del Grupo a las que iban a ser cedidos los datos facilitados, ni tampoco los concretos sectores de actividad de los que iba a recibir publicidad. Breve exposición de los hechos En el mes de marzo de 2014, el denunciante se registró en la página web de un Club de ventas de unos grandes almacenes facilitando sus datos personales (e-mail, nombre y apellidos, sexo, fecha de nacimiento, NIF, y dirección postal). En dicha web se informaba de que la empresa era la responsable del fichero al que se incorporaban los datos de quienes se registraban en la citada página web. Asimismo, el formulario de recogida de datos (ficha de cliente) contenido en la web contenía un enlace a la «política de seguridad y confidencialidad» en donde, en el mes de enero de 2015, se explicaba que el cliente autorizaba expresamente a la empresa para que los datos del registro y cuantos se obtuviesen para el desarrollo de las relaciones contractuales entre ambas partes pudieran ser facilitados a las empresas del Grupo para que éstas pudieran efectuar estudios de mercado y ofrecerle al cliente productos y servicios que pudieran resultar de su interés. Asimismo contenía una casilla para marcar por el cliente en caso de no desear recibir publicidad de Grupo de Empresas. Con posterioridad, en el mes de noviembre de 2015, el apartado «Política de privacidad» había sido modificado y sí se informaba sobre las empresas del Grupo a las que se cedían los datos personales y los concretos sectores de actividad de los que iba a recibir publicidad el cliente. Sobre la composición actualizada de las empresas del Grupo y la actividad de las sociedades que lo integraba se remitía a una página web con la información al respecto. Argumento desestimatorio de la Audiencia Nacional Analizadas las consideraciones hechas por la empresa demandante, la Audiencia afirma que es cierto que, tal y como razona la resolución impugnada, el alcance de la obligación de informar a los (futuros) clientes sobre «los sectores específicos y concretos de actividad respecto de los que podrá recibir información y publicidad» a que obliga el artículo 45.5 del RLOPD se considera cumplido con la remisión a una página web que informe de cuáles son las empresas que pertenecen al Grupo empresarial, sin que se exija una relación en la propia página, de los diferentes sectores o actividades de los que se podría recibir información o publicidad, tal y como deriva de la doctrina de la misma Sala y Sección a partir de la SAN de 30 de enero de 2013 (Rec. 400/2011) (LA LEY 2875/2013) . No obstante, aplicando la anterior normativa y doctrina al supuesto en cuestión, queda probado y no desvirtuado en contrario que, a fecha de enero de 2015, el formulario de recogida de datos del cliente (en el enlace a la «política de seguridad y confidencialidad») no ofrecía información sobre cuáles eran las empresas del Grupo a las que iban a ser cedidos los datos ni tampoco los concretos sectores de actividad de los que iba a recibir publicidad, lo que supone un incumplimiento de lo dispuesto en el artículo 45.1.b) del Real Decreto 1720/2007 (LA LEY 13934/2007), en relación con el artículo 5 de la LOPD (LA LEY 4633/1999). Es cierto que con posterioridad, en el mes de noviembre de 2015 la política de privacidad de la misma página web ya había sido modificada y contenía una información distinta, pero ha de tomarse en consideración que el expediente sancionador se inició en virtud de denuncia presentada en el mes de marzo de 2014, llevándose a cabo las actuaciones (de averiguación) de la AEPD, sobre incorporación al expediente de la información obtenida de la página web relativa al formulario de la recogida de datos en el mes de agosto de 2014, dictándose Acuerdo de incoación del expediente en el mes de mayo de 2015, siendo tal fecha de comisión y comprobación de los referidos hechos la que debe de tomarse en consideración a los efectos del presente litigio. En definitiva, la sanción impuesta por la infracción del principio de información previa en la recogida de datos personales resulta proporcionada y ajustada a Derecho, y deben imponerse las costas procesales a la empresa demandante. Fuente:  Diario la Ley http://diariolaley.laley.es/Content/Documento.aspx?params=H4sIAAAAAAAEAMtMSbH1czUwMDA0NbE0MrBUK0stKs7Mz7M1MjC0MDA2MFXLy09JDXFxti3NS0lNy8xLTQEpyUyrdMlPDqksSLVNS8wpTlVLTcrPz0YxKR5mAgB_CF4hYwAAAA%3D%3DWKE