La AEPD impone una sanción de 2.000 euros a un despacho por enviar un burofax con datos personales sin consentimiento

La Subdirección General de Inspección de Datos procedió a realizar actuaciones para su esclarecimiento, por lo que dirigió requerimiento informativo a la entidad reclamada.

El despacho indica que efectivamente una abogada envió un burofax a la empresa dirigida al reclamante, pero que lo hizo en nombre de su cliente, otra empresa de la que este fue socio en el pasado y contra quien han interpuesto una querella.

El reclamante critica, subraya el despacho, que se estén revelando sus datos personales a la compañía con la que no mantiene ningún tipo de relación.

Ante esta situación, el despacho adoptó el protocolo de brecha de seguridad y/o fuga de información confidencial y datos personales.

Realizada la auditoría interna, se determina que no se ha sustraído ninguna información, no hay ninguna filtración, no están afectadas entidades o personas y no hay fuga de información por lo que no existe responsable.

El despacho subraya que el reclamante ha sido objeto de interposición de querella -por competencia desleal, entre otros motivos- por la empresa que ellos defienden.

De modo que, la presentación de dicha reclamación en la AEPD «es en respuesta y en represalia de la querella interpuesta el día 28 de febrero de 2019 en defensa de los derechos e intereses de nuestro cliente».

El despacho sostiene que ha realizado un tratamiento legítimo de los datos

Por ello, explica que todos los requerimientos realizados al reclamante han sido en calidad y relacionado con su representación de las personas jurídicas, «por lo que los datos personales objeto de tratamiento han sido obtenidos en interés legítimo», defiende el despacho.

En este sentido, explica que el RGPD contempla como causa legitimadora para el tratamiento de datos el interés legítimo según su artículo 6.1.f). «Ante la comisión de un delito, es claro que prevalecen los intereses de mi cliente y no al contrario. Tutela judicial efectiva: En el presente caso».

Sobre esto, el despacho recuerda que la AEPD «ya ha tenido la ocasión de analizar la posible concurrencia en un determinado supuesto de tratamiento de datos de los derechos fundamentales a la protección de datos de carácter personal y a la tutela judicial efectiva del responsable del tratamiento».

Así, apunta, «se ha considerado por ejemplo que el tratamiento por un abogado de los datos de la parte contraria de su cliente encuentra su amparo en el reconocimiento a este último por el artículo 24.1 de la Constitución de su derecho a la tutela judicial efectiva, lo que implica, según el apartado 2, la defensa letrada y el uso de los medios de prueba pertinentes para la defensa de su derecho».

Por eso, agrega que la exigibilidad del consentimiento del oponente, en este caso, para el tratamiento de sus datos, o por su abogado «supondría dejar a disposición de aquél el almacenamiento de la información necesaria para que su cliente puede ejercer, en plenitud, su derecho a la tutela judicial efectiva».

Frente a todo esto, el 20 julio de 2020 la directora de la AEPD acordó iniciar procedimiento sancionador a la entidad reclamada por incumplir lo establecido en la normativa vigente e impuso a la entidad reclamada una sanción de 2.000 euros por la infracción del artículo 6 del RGPD.

Nueve días más tarde, el despacho procedió al pago sanción en la cuantía de 1.600 euros haciendo uso de una de las dos reducciones previstas, presentando a la AEPD un escrito en el que se acogía a la opción de pago voluntario sin reconocimiento de responsabilidad.