La Agencia Española de Protección de Datos (AEPD) ha multado con 10.000 euros al despacho Ackermann & Schwartz Attorneys At Law, titular de la página www.madridlaw.es por infringir dos artículos del Reglamento General de Protección de Datos, el 6.1 y el 13.
Según la AEPD, el bufete obtuvo datos personales de los usuarios de la página web sin previo consentimiento y, además, en el apartado de “Política y Privacidad”, la información era de difícil acceso, insuficiente y en inglés.
La reclamante es una abogada que se quiso postular a un puesto de trabajo que vio en una página web. Tras enviar el CV, recibió una llamada de una persona para realizarle una entrevista pero, según explicó, no le informó del nombre de la empresa que estaba ofreciendo el puesto.
El día de la entrevista, el encargado de hablar con ella entró a la sala con su currículum impreso, pero, según la reclamación interpuesta, la empresa no le advirtió en ningún momento del tratamiento que se le iba a dar a sus datos personales.
Asimismo, según la reclamación, la abogada supo a qué empresa estaba postulando porque vio que en la oficina había pegatinas con el logotipo de Ackermann & Schwartz. A ello añadió que, en la web corporativa de la empresa -citada anteriormente- no constaba ninguna información relativa al Reglamento General de Protección de Datos ni se identificaba a la empresa titular de la página.
Información «insuficiente» y en inglés
La Subdirección General de Inspección de Datos procedió a realizar las investigaciones pertinentes para esclarecer los hechos en cuestión. Según se constató, la empresa podía obtener datos personales de los usuarios a través de un formulario donde se podía introducir el nombre, el correo electrónico, el asunto y se podía dar la opción de enviar. Los usuarios no consentían que se tratasen sus datos.
Por otro lado, en el apartado de “Política de Privacidad”, la web señalaba que la información personal que se facilitase se incorporarían a un fichero de datos de carácter personal con titularidad de Ackermann & Schwartz y que, las finalidades del tratamiento de datos, serían para gestionar y tramitar las solicitudes realizadas.
En cambio, según la AEPD, la información suministrada en dicho apartado es “totalmente insuficiente”. Pues carece, por ejemplo, de la identidad y los datos de contacto del responsable; los datos de contacto del delegado de protección de datos o, en su caso, los destinatarios de los datos personales y de la información necesaria para ejercitar los derechos que asisten los usuarios, cómo y dónde ejercitarlos. Además, está en inglés.
La AEPD, en su resolución, ha explicado que cuando el tratamiento de los datos personales se realiza a través de un sitio web, la “Política de Privacidad” es el documento mediante el cual el titular de la web debe informar sus clientes y usuarios sobre la gestión que realizará de los datos personales que se recopilarán al navegar en el sitio.
«Se debe proporcionar un acceso fácil y directo»
Por tanto, antes de que el usuario facilite sus datos personales y dé su consentimiento al tratamiento de estos, se le debe facilitar un acceso simple y directo a la “Política de Privacidad” de la web.
Respecto a la forma de obtener el consentimiento del interesado, continúa la AEPD, la solicitud debe ser realizada a través de un acto afirmativo claro y voluntario, facilitando una casilla en blanco, o un mecanismo similar, donde el usuario deba marcar o cliquear de forma explícita la aceptación de la “Política de Privacidad”, mediante fórmulas como: «He leído y acepto las condiciones de la política de privacidad” o equivalentes.
Por ello, ha sancionado con 5.000 euros al despacho por la infracción del artículo 6.1 RGPD, al poder obtener datos personales de los usuarios de la página web sin haber obtenido previamente su consentimiento para el tratamiento de estos.
Y, por otro lado, otros 5.000 por infracción del artículo 13 RGPD, al proporcionar, en la “Política de Privacidad” de la página web, información en un idioma no oficial en España por proporcionar información insuficiente.
