Se presenta reclamación por el hecho de que un trabajador de una inmobiliaria fue a casa del reclamante y, dirigiéndose a él por nombre y apellidos le preguntó por su vinculación con un piso.

La reclamante cuestiona dicha actuación ya que no existe información alguna, ni de su padre ni de ella, relacionada con el inmueble; la entidad terminó admitiendo que su fuente es la web INGLOBALY, correspondiente al reclamado, considerando que la obtención de los datos se ha realizado de manera ilegal.

Entre otras alegaciones, el reclamado aduce, en relación con el origen de los datos “que se trata de datos adquiridos por el reclamado y obtenidos de la entidad Telefónica a través de fuentes accesibles al público desde el año 2004”.

Señala la AEPD que el concepto de “fuentes de acceso público” no figura en el vigente RGPD como base legitimadora, con lo que se aplica en todo caso la necesidad de acreditar una base que conforme establece el art. 6.1 RGPD legitime el tratamiento de los datos.

En caso de considerar que se han obtenido legítimamente los datos al haberse obtenido de un tercero, no del propio interesado, el reclamado para actuar acorde a derecho debió comunicar la obtención de los datos a la reclamante, ya sea en el momento en que los obtuvieron o bien cuando los utilizaron con fines comerciales, o bien en el momento en que los datos personales sean comunicados por primera vez, y en todo caso en el plazo máximo de un mes, de conformidad con el art. 14 RGPD.

Y en el presente caso, no consta acreditada base de legitimación alguna de las prevista en el artículo 6.1 del RGPD para el tratamiento de los datos personales de la reclamante.

La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate; los hechos puestos de manifiesto afectan a un principio básico relativo al tratamiento de los datos de carácter personal, como es el de legitimidad, que la norma sanciona con la mayor gravedad. Los datos personales de la reclamante han sido objeto de tratamiento por el reclamado, sin que se haya acreditado que mantenga algún tipo de relación ni causa de legitimación alguna para ello (art. 83.2. a) del RGPD).

La intencionalidad o negligencia en la infracción. Los hechos puestos de manifiesto acreditan que el reclamado no obró con la diligencia a la que estaba obligado, negándose a informar sobre los datos personales de la reclamante y a colaborar con la actuación llevada a cabo por el Servicio de Inspección de la AEPD.

Por tanto, la AEPD le impone por una infracción del art. 6.1 RGPD, tipificada en el art. 83.5.a), multa de 10.000 € (diez mil euros) y por infracción del art. 58.1 RGPD, otra multa de 10.000 €.

Resolución AEPD PS-00030-2023 de 16 de noviembre