| Resolución | PS-00243-2018 |
| Firmado | 2018-10-03T00:00:00Z |
| Enlace | 📋 |
En el procedimiento sancionador PS/00243/2018, se denunció que la entidad COMMCENTER, S.A. estaba enviando contratos de financiación a la cuenta de correo electrónico de un denunciante, A.A.A., sin su consentimiento. Estos contratos contenían datos personales de terceros, incluyendo nombres, domicilios, teléfonos, estado civil, familiares a cargo, ingresos, situación laboral, nombres de las empresas donde trabajan, cargos, antigüedad, números de cuentas corrientes, importes financiados, mensualidades y firmas de los contratantes.
El denunciante recibió múltiples solicitudes de financiación en su correo electrónico, lo que evidenciaba una vulneración de la seguridad de los datos personales. COMMCENTER, como distribuidor oficial de MOVISTAR, utilizaba una aplicación web proporcionada por TELEFÓNICA CONSUMER FINANCE para gestionar las solicitudes de financiación. Sin embargo, la aplicación permitía que los datos personales, incluyendo direcciones de correo electrónico, fueran ingresados incorrectamente, lo que resultó en el envío de contratos a la dirección de correo del denunciante.
COMMCENTER alegó que el error fue debido a una trabajadora que rellenó el campo de la dirección de correo electrónico con una dirección genérica que creía inexistente, pero que en realidad pertenecía al denunciante. La entidad también argumentó que había implementado nuevos procedimientos para evitar que este error volviera a ocurrir.
A pesar de las alegaciones, se determinó que COMMCENTER había incumplido el principio de seguridad de los datos personales, establecido en el artículo 9.1 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). La entidad no había adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos y evitar el acceso no autorizado.
Como resultado, se impuso a COMMCENTER una multa de 40.001 euros por la infracción grave del artículo 9.1 de la LOPD. La sanción se justificó por la vulneración continua de la seguridad de los datos, el volumen de tratamientos efectuados y la vinculación de la actividad de la entidad con el tratamiento de datos personales. La resolución también advierte a la entidad sobre la necesidad de cumplir con las normativas de protección de datos y de