890 - Recopilación de la diferente tipología de infracciones existentes en materia de protección de datos

Como recoge el artículo 71 de la LOPDGDD, constituyen infracciones los actos y conductas a los que se refieren los apartados 4, 5 y 6 del artículo 83 del RGPD, así como las que resulten contrarias a la LOPDGDD. Por tanto, acudiendo al precepto indicado del RGPD se considerarán infracciones, con sus particularidades:

•  El incumplimiento de las obligaciones de los sujetos responsables:
  • Las obligaciones del responsable y del encargado en cuanto a:
    • Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información (art. 8 del RGPD).
    • Tratamientos que no requieren identificación (art. 11 del RGPD).
    • La aplicación de medidas técnicas y organizativas adecuadas desde el diseño y por defecto (art. 25 del RGPD).
    • Corresponsabilidad y representación en el tratamiento de los datos (arts. 26 y 27 del RGPD).
    • El ejercicio de sus funciones impuestas por los arts. 28 y 29 del RGPD.
    • El registro de las actividades de tratamiento (art. 30 del RGPD).
    • La cooperación con la autoridad de control (art. 31 del RGPD).
    • Las medidas para garantizar un nivel de seguridad adecuado (art. 32 a 34 del RGPD).
    • La evaluación de impacto (arts. 35 y 36 del RGPD).
    • La designación del delegado de protección de datos y la colaboración con el mismo. (arts. 37 a 39 del RGPD).
    • Las obligaciones respecto a la certificación del cumplimiento en protección de datos (arts. 42 y 43 del RGPD).
  • Las obligaciones de los organismos de certificación, de las recogidas en los artículos 42 y 43 del RGPD.
  • Las obligaciones del organismo de supervisión a tenor del artículo 41, apartado 4, del RGPD, esto es, cuando un responsable o encargado del tratamiento infringe el código de conducta. 
• La infracción de los principios y derechos:
  • Vulneración de los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, a tenor de:
    • Los principios relativos al tratamiento (art. 5 del RGPD)
    • La licitud del tratamiento (art. 6 del RGPD).
    • El consentimiento del interesado (art. 7 del RGPD).
    • El tratamiento de categorías especiales de datos, es decir, datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física (art. 9 del RGPD).
  • Vulneración de los derechos del interesado:
    • Transparencia de la información y comunicación en el ejercicio de los derechos del interesado (arts. 12 a 14 del RGPD).
    • Derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición (arts. 15 a 21 del RGPD).
    • Derecho a no ser objeto de decisiones individuales automatizadas (art. 22 del RGPD).
  • Realizar transferencias de datos personales a un destinatario en un tercer país o una organización internacional, sin cumplir las normas recogidas en los artículos 44 a 49 del RGPD. 
  • Toda obligación en virtud del derecho de los Estados miembros que se adopte con arreglo al capítulo IX del RGPD: 
    • Libertad de expresión e información.
    • Acceso del público a documentos oficiales.
    • Tratamiento del número nacional de identificación.
    • Tratamiento en el ámbito laboral, en particular, a efectos de contratación, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad, bienes de los empleados, etc.
    • Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
    • Obligaciones de secreto profesional.
    • Protección de datos de iglesias y asociaciones religiosas.
  • Incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1, del RGPD. 

CUESTIÓN

Una empresa de reparto crea un grupo de WhatsApp en el que incluye a todos los trabajadores. Uno de ellos realiza una reclamación por incluirlo sin su consentimiento. La empresa alega que informa expresamente a sus trabajadores de la utilización de este canal de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto, en esta situación, ¿es lícito el tratamiento de datos por parte de la empresa?

Sí, en un caso como el descrito se ha pronunciado la Agencia Española de Protección de Datos en la resolución AI-00050-2022, de 9 de enero de 2023, en la que señala:

«La legitimación para el tratamiento de los datos personales puede encontrarse en cualquiera de los apartados señalados en el apartado 1 del artículo 6 del RGPD referenciado. En el ámbito de las relaciones laborales, el tratamiento de los datos personales se basa jurídicamente, de forma principal, en la ejecución del contrato de trabajo, aunque ciertos datos también podrán tratarse para cumplir las exigencias impuestas por la ley o por un convenio colectivo.

El tratamiento de los datos personales debe respetar los principios establecidos en el artículo 5 del RGPD referenciado. En este supuesto son de destacar del principio de minimización de datos, debiendo ser los adecuados, pertinentes y limitados a lo necesario en relación con los fines perseguidos; y el de confidencialidad, que no vayan a ser accedidos por personas ajenas al grupo de trabajo.

En el presente caso, los datos objeto de tratamiento son los mínimos necesarios para la organización del trabajo particular llevado a cabo por la parte reclamada, que ha informado a los trabajadores de la finalidad del tratamiento en los grupos de whatsapp creados con la finalidad de utilizar esta vía de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto y manteniendo la confidencialidad sobre ellos».

• Incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, del RGPD.

CUESTIÓN

¿Son lo mismo las conductas infractoras que las prácticas agresivas en materia de tratamiento de datos personales?

No, no se trata del mismo comportamiento. La D.A. 16.ª de la LOPDGDD determina respecto a las prácticas agresivas que, a los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, estas se constituyen por:

- Actuar con intención de suplantar la identidad de la AEPD o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.

- Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.

- Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.

- Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.

- Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la AEPD o las autoridades autonómicas de protección de datos.