La Agencia Española de Protección de Datos ha sancionado con 4.000 euros a una gestoría por ceder documentación sin autorización de su cliente a una tercera empresa.

El cliente, que tenía contratados los servicios de asesoría fiscal con la gestoría sancionada, se percató de tal incidencia al recibir una factura formalizada por otra gestoría ajena a su conocimiento.

La nula cooperación de la gestoría sancionada con la AEPD a fin de poner remedio a la infracción y el hecho de que se encuentran afectados identificadores personales básicos del cliente (como su nombre, apellidos y domicilio), concurren en el presente caso como agravantes a la hora de fijar el importe de la sanción definitiva.


Antecedentes

En junio de 2020, la persona física afectada (reclamante) interpuso reclamación ante la AEPD contra la gestoría (reclamada) con la que tenía contratados los servicios de asesoría fiscal.

La afectada denunciaba que la reclamada había transmitido, sin su consentimiento, sus datos a una tercera empresa, en concreto, otra gestoría.

En junio de 2020, la persona física afectada (reclamante) interpuso reclamación ante la AEPD contra la gestoría (reclamada)

Junto a la reclamación, la afectada aportaba la siguiente documentación:

- Factura del año 2017, donde consta la gestoría con la que contrató los servicios de asesoría fiscal;

- Factura de marzo de 2020, formalizada por la otra gestoría;

- Correo electrónico de junio de 2020, remitido a las dos gestorías, reclamando que la afectada nunca había recibido comunicación alguna sobre el traslado de documentación a una tercera empresa. Además, denunciaba que, en ningún caso, la reclamante había autorizado tal intercambio de datos.

Fruto de tales circunstancias, la Subdirección General de Inspección de Datos procedió a realizar actuaciones para su esclarecimiento.

Así, como resultado de las actuaciones de investigación practicadas, se acredita que el responsable del tratamiento es la entidad reclamada. Asimismo, se constatan los siguientes extremos:

- En julio de 2020, se dio traslado de la reclamación a la gestoría reclamada a través del servicio de notificaciones electrónica. Esta fue devuelta por haber expirado el plazo de entrega;

- Los datos personales facilitados en el 2017 por la reclamante a la reclamada, figuran en la factura emitida por la tercera empresa;

- Tras realizar dos requerimientos de información sobre las causas que han motivado la presente reclamación, a través del servicio de notificaciones electrónicas y del servicio postal de correos, se desprende que ambas notificaciones han sido devueltas. En concreto, la primera de ellas por haber expirado el plazo de entrega y la segunda devuelta a origen por sobrante.

En abril de 2021, la Directora de la AEPD acordó iniciar procedimiento sancionador a la reclamada, por la presunta infracción del art. 6 del Reglamento General de Protección de Datos, tipificada en el art. 83.5 del RGPD y considerada muy grave en el art. 72.1 a) de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales.

Notificado formalmente el acuerdo de inicio, la entidad reclamada no presentó escrito alguno de alegaciones.


Agravantes

“La documentación que obra en el expediente ofrece evidencias de que la parte reclamada, vulneró el artículo 6.1 del RGPD, toda vez que de las actuaciones practicadas se desprende que la reclamada trató los datos sin legitimación para ello de la reclamante, es decir, comunicó los datos de la reclamante a un tercero”, anuncia la AEPD.

En tal sentido, agrega la reciente resolución que, la entidad reclamada no contestó a la AEPD a los requerimientos llevados a cabo a través del servicio de correos y del de notificaciones electrónicas. Además, “tampoco hizo alegaciones al acuerdo de inicio del presente procedimiento sancionador”, apunta la Agencia.

Así pues, antes de proceder a fijar el importe de la sanción a imponer en el presente caso, la AEPD se detiene en graduar la misma de acuerdo con los siguientes criterios agravantes que establece el art. 83.2 del RGPD:

- La nula cooperación con la AEPD a fin de poner remedio a la infracción y mitigar sus efectos (apartado f);

- Se encuentran afectados identificadores personales básicos: nombre, apellidos y domicilio (apartado g).


Sanción

Así las cosas, de conformidad con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la AEPD resuelve e impone a la gestoría una multa de 4.000 euros por la infracción del art. 6 del RGPD, tipificada en el art. 83.5 a) del mismo texto legal.


Fuente: economistjurist.es