La autoridad de control ha impuesto a una entidad de alquiler de coches una sanción de 20.000 euros por la infracción del artículo 5.1.e) (principio de limitación del plazo de conservación) del RGPD; de 30.000 euros por infringir el artículo 13 del Reglamento (información que debe facilitarse a los afectados) y de 50.000 euros por la infracción del artículo 15 del mismo cuerpo normativo (derecho de acceso). No obstante, dicha sanción se ha reducido a 60.000 euros por cuanto la entidad ha hecho uso de las dos reducciones previstas, reconociendo su responsabilidad.
La reclamante alquiló un vehículo a través de la empresa reclamada. Posteriormente, solicitó el acceso a sus datos personales a través del correo indicado en la página web de la entidad, pidiendo confirmación de la recepción de la solicitud. No obstante, debido a que no obtuvo respuesta, interpuso una reclamación ante la autoridad de control alemana (la persona afectada era ciudadana de dicho país). Debido al carácter transfronterizo, así como al hecho de que la compañía tenía su establecimiento principal en España, la autoridad de control alemana transmitió la reclamación a la AEPD.
Con ocasión de las actuaciones de investigación realizadas, la AEPD tuvo constancia, entre otras cuestiones, de que en la política de protección de datos de la web se indicaba un CIF de empresa que no correspondía a la entidad, sino a otra sociedad extinta, constatándose “una discrepancia entre el nombre del responsable y su CIF publicados en la política”. Adicionalmente, se facilitó a la autoridad de control copia del contrato formalizado entre las partes y debidamente firmado, tanto en inglés como en alemán, así como las condiciones generales, redactadas también en alemán.
La entidad presentó escrito de respuesta al requerimiento de información remitido por la autoridad de control, alegando que la solicitud de ejercicio de derecho enviada no fue atendida adecuadamente por cuanto estaba redactada en alemán y la representación del solicitante no había sido debidamente acreditada (en este sentido, se puso de manifiesto por la compañía que, como medida adoptada, se implementó un nuevo procedimiento de respuesta al ejercicio de los derechos que permite la traducción de las solicitudes para poder atenderlas correctamente).
A la vista de lo anterior, la AEPD declara que el hecho de que la solicitud hubiera sido redactada en alemán no puede ser considerado un impedimento para dar respuesta al ejercicio del derecho, puesto que el propio contrato estaba redactado en dicho idioma y la empresa prestaba servicios para ciudadanos de este país. Adicionalmente, si se alegó por la entidad que no se había acreditado la representación, lo que tenía que haber hecho era recabar esta información adicional del solicitante. En todo caso, al no darse respuesta, se debió informar al afectado sobre las razones por las que no se había dado curso a la solicitud. Es por todo lo anterior por lo que se ha vulnerado el artículo indicado.
Respecto al plazo de conservación, se indicaba en la página web (en la política de protección de datos) que la información se conservaría mientras dure la relación contractual y, con posterioridad a la misma, “hasta que usted decida comunicarnos su supresión o hasta que legalmente sea necesario, si hubiese prestado su consentimiento”. Una vez solicitada información adicional por la autoridad de control, la compañía indicó que los datos se conservaban en función de la finalidad del tratamiento, siendo el plazo máximo de 5 años. De este modo, tal y como declara la AEPD, la entidad no detalla el plazo en función de la finalidad, sino que simplemente facilita un periodo genérico, por lo que se infringe el artículo previamente mencionado.
En relación con la información que el responsable del tratamiento debe facilitar al titular de los datos en la política de privacidad, se considera por la AEPD que el hecho de facilitar un CIF incorrecto, que corresponde a otra entidad (extinta), supone una vulneración del artículo 13 del RGPD.
Puede acceder a la resolución sancionadora aquí.