Zabía-Abogados

Sanción de 10.000 euros impuesta por la autoridad de control a una compañía por no suprimir adecuadamente los datos personales de un antiguo cliente

La Agencia Española de Protección de Datos ha impuesto a una empresa una sanción de 10.000 euros -reducida a 6.000 euros por haber sido abonada de manera voluntaria por la entidad reclamada, reconociendo, en consecuencia, su responsabilidad- por infringir el artículo 15 del RGPD (derecho de acceso del interesado) al no suprimir de manera adecuada los datos de carácter personal de una antigua cliente.

En este caso, la afectada presentó reclamación debido a que, con ocasión del ejercicio de su derecho de supresión ante el responsable del tratamiento, solicitó a la compañía, con posterioridad y en diversas ocasiones, que procediera a eliminar sus datos de carácter personal de su sistema informático, siendo confirmado por la entidad que se había dado curso a dicha solicitud. No obstante, “cuando se suponía que ya habían borrado mis datos”, recibió dos nuevos correos electrónicos publicitarios de la compañía remitiéndole su newsletter.

Una vez notificada la reclamación, la entidad presentó escrito ante la AEPD alegando que esta incidencia se había debido a un error informático, por cuanto se encontraban “en un periodo de transición de una plataforma web a otra” y “durante este proceso de migración”  se cruzaron algunos datos de antiguos clientes que debían haber sido bloqueados. Es por ello por lo que se reconocía y admitía el error y se informaba a la autoridad de control de que el problema ya estaba solucionado, por cuanto se habían implementado medidas de seguridad adecuadas y se habían llevado a cabo todas las gestiones necesarias. Asimismo, la entidad se puso en contacto con la afectada a efectos de disculparse con ella e informar de que el incidente ya había sido subsanado. No obstante lo anterior, la reclamante amplió su reclamación ante la Agencia informando que, con posterioridad a la comunicación remitida por la entidad, volvió a recibir un nuevo correo electrónico de publicidad.

Habida cuenta de lo anterior, la autoridad de control ha declarado que ha quedado probado que la solicitud de supresión de datos, efectuada en varias ocasiones, no fue atendida adecuadamente por la entidad, puesto que “incluso, después de haber declarado ante esta Agencia que los datos personales del reclamante habían sido borrados, se volvieron a utilizar para enviarle un nuevo correo electrónico publicitario”, lo que supone una infracción de la normativa de protección de datos. 

Adicionalmente, se ha tenido en consideración, como agravantes, que la naturaleza de la infracción es muy grave, puesto que “después de haber asegurado al reclamante en varias ocasiones que sus datos personales habían sido borrados e incluso haber manifestado este hecho ante esta Agencia, se ha constatado que dicho borrado no ha existido”; así como que su actuación es negligente, ya que la afirmación respecto a que se había resuelto la incidencia no era cierta. 

Esta resolución permite apreciar la importancia de tramitar adecuadamente las solicitudes de ejercicios de derechos, debiendo dar respuesta y cumplimiento a las mismas cuando ello sea necesario y exigible, puesto que en caso contrario el riesgo de que se imponga una sanción al responsable del tratamiento es elevado.

Puede acceder a la resolución sancionadora de la AEPD aquí.

Share the Post:

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido