Atendiendo a la normativa en materia de protección de datos, existen una serie de obligaciones y deberes (entre ellos el deber de información) que han de cumplir todas las personas jurídicas que traten datos de carácter personal, dicha obligatoriedad viene recogida en las distintas normas en la materia;
- A nivel europeo Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), artículo 13.
- A nivel España: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), artículo 11.
Una vez sentadas las bases normativas del presente artículo, vamos a proceder a explicar los motivos de la sanción a una inmobiliaria, los cuales encontramos en detalle en el PS-00115-2022 de la Agencia Española de Protección de Datos (AEPD);
El procedimiento se inició cuando un cliente de la inmobiliaria (en adelante el reclamante), el cual había contactado con la entidad por su interés en alquilar un piso por motivos laborales, interpuso la reclamación ante la AEPD al detectar ciertas irregularidades en la información en materia de protección de datos de la inmobiliaria, en dicha reclamación el reclamante manifestaba que la reclamada no seguía las directrices del RGPD ni de la LOPDGDD, alegando lo siguiente;
- El reclamante visito un piso con la inmobiliaria reclamada, a los dos días envío un correo electrónico comunicando que estaba interesado en él, señalando que tenía que trasladarse a Tenerife por motivos laborales con carácter permanente, además a ese email adjuntó una copia de su contrato de trabajo de carácter indefinido, datos del avalista solidario, y justificantes bancarios del pago del alquiler de la casa en la que estaba, para acreditar la puntualidad en el abono de la renta.
- El reclamante señala, además, que no existe ninguna página web ni se entregó en ningún momento de la visita, documento alguno donde se informara del responsable del tratamiento de los datos.
- En fecha 1 de septiembre de 2021 el reclamante celebra contrato de arrendamiento de un inmueble y previamente una reserva de piso, a través de un Agente Inmobiliario, en la documentación que se le facilita no se incluye en ningún momento información adecuada en materia de protección de datos, dado que no se identifica suficientemente al responsable del tratamiento de datos, no se identifica suficientemente la finalidad del tratamiento de datos, ni se incluye como ejercitar de forma adecuada los distintos derechos en materia de protección de datos que prevé la normativa al respecto.
Ante esta situación, el reclamado puso el caso en manos de la Agencia Española de Protección de Datos (AEPD) formulando la reclamación que analizamos en el presente articulo contra la inmobiliaria, por un posible incumplimiento de lo dispuesto en la normativa de protección de datos de carácter personal.
Tras las alegaciones del reclamante, la AEPD procedió a la notificación al reclamado y transcurrido el plazo otorgado para la formulación de alegaciones, no se ha recibe alegación alguna por la parte reclamada.
Por lo tanto, una vez pasado este plazo, la AEPD estima que toda recogida de datos de carácter personal a través de formularios constituye un tratamiento de datos, respecto del cual el responsable del tratamiento ha de dar cumplimiento a lo previsto en el artículo 13 del RGPD:
“Información que deberá facilitarse cuando los datos personales se obtengan del interesado
1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c)los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d)cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c)cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
d)el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.”
Además de recogerse en este artículo, dicha obligatoriedad de información también se recoge en el artículo 11 LOPDGDD y en relación con este asunto, AEPD tiene a disposición de los ciudadanos, la Guía para el cumplimiento del deber de informar (https://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf).
En base a lo expuesto, nuestra autoridad de control sanciona a la entidad reclamada por considerar los siguientes incumplimientos del RGPD;
- Imponer a la entidad reclamada por una infracción del artículo 13 del RGPD, tipificada en el artículo 83.5 del RGPD, una multa de 2.000 euros. Considerándose infringido el articulo por lo siguiente:
- No se identifica suficientemente al responsable del tratamiento de datos.
- Ni se indica la finalidad del tratamiento de datos.
- Ni se incluye como ejercitar de forma adecuada los distintos derechos en materia de protección de datos que prevé la normativa al respecto.
- Además, la AEPD ordena a la entidad reclamada, que de acuerdo con lo establecido en el citado artículo 58.2.d) del RGPD, proceda a la adecuación de la información ofrecida a los usuarios, cuyos datos personales se recaban, a las exigencias contempladas en el artículo 13 del RGPD, así como la aportación de medios de prueba acreditativos del cumplimiento de lo requerido en el plazo de un mes desde la notificación de la resolución.
Por lo tanto, si queremos evitar una sanción del estilo y cumplir con las premisas analizadas a lo largo de nuestro artículo, en toda nuestra documentación de recogida de datos hemos de cumplir con el deber de información (art.13 RGPD). Recomendando que esta información se realice por capas de la siguiente manera:
- Facilitando la información básica en una primera capa, resumida, en el mismo momento y por el mismo medio en que se recojan los datos personales. Debiendo incluir esta primera capa como mínimo los siguientes extremos según el artículo 11 LOPDGDD:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
- Y una segunda capa que remita el resto de la información de forma más detallada.
En resumen, todas las personas jurídicas que no cumplan con el deber de información, incluyendo todos los requisitos que se disponen en el art. 13 del RGPD y el art. 11 LOPDGDD (en el caso de España) deben de ser conocedoras de que corren el riesgo de que ser sancionados por parte de la autoridad de control, si bien, pueden evitarlo contando con una empresa en materia de protección de datos que les preste un adecuado servicio de asesoría al efecto.
