Llegan las sanciones a PYMES por infracción del Reglamento Europeo de Protección de Datos

AUTOR: Isabel García García

FECHA: 22.07.2019

Los hechos que han dado lugar a esta infracción se iniciaron cuando la reclamante en este procedimiento sancionador solicitó un microcrédito de 300€ a una empresa que otorga préstamos por internet, para lo cual tuvo que aportar una serie de datos personales, tales como datos de contacto y lugar de trabajo. En las condiciones generales de dicho préstamo, que la reclamante aceptó, se estipulaba que en el caso de que el cliente no devolviese el crédito concedido en el plazo acordado, la deuda sería traspasada a una entidad de recobro, que se encargaría de reclamarla.

Llegado el momento, y al no haber devuelto la reclamante el importe de la deuda, la mencionada empresa cedió los datos personales de la reclamante a la entidad de recobro para que procediera a tramitar la reclamación de la cantidad debida.

Esta entidad de recobro se puso en contacto con la reclamante a través de las dos direcciones de correo electrónico aportadas por ella misma al momento de solicitar el crédito. Sin embargo, la reclamante también recibió emails de esta entidad en los que se le reclamaba la deuda, calificándole de “morosa”, en la dirección de correo electrónico institucional de su lugar de trabajo; siendo ésta una dirección de correo a la que tienen acceso otros compañeros de trabajo de la reclamante, al no ser una dirección profesional específica de un trabajador, sino de la institución, y la cual nunca había sido facilitada por la reclamante, ni a la empresa que le concedió el crédito ni a la entidad de recobro.

La AEPD entiende que todo ello incumple lo establecido en la letra f) del artículo 5 del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), el cual establece que los datos personales “será tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.

En concreto, la empresa de recobro, al haber hecho uso de una dirección de correo electrónico institucional común (aunque ésta no constituye un dato personal), ha revelado ilícitamente información personal de la reclamante, especialmente en lo referente a su situación económica, a una serie de terceras personas que no debían conocer dicha información. Según indica la APED, ello resulta en una pérdida de confidencialidad de los datos personales de la reclamante, lo que constituye una infracción del mencionado artículo 5 del RGPD, en relación con el artículo 5 («Deber de confidencialidad») de la Ley 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Un tratamiento de datos personales que vulnere lo establecido en el artículo 5 del RGPD constituye una infracción que se califica como “muy grave” por el artículo 72 de la LOPDGDD. Teniendo en cuenta las circunstancias del caso y los parámetros de referencia establecidos en el artículo 83.2 del RGPD para cuantificar la sanción, la AEPD resuelve el procedimiento con la imposición de una sanción de 60.000€ a la empresa de recobro, por infracción del artículo 5.1 letra f) del RGPD.