EasyJet, sancionada con 8.000 euros por tardar cuatro meses en atender una petición
El reclamante solicitó acceder a sus datos a raíz de una reclamación económica que interpuso por la denegación de embarque en uno de los vuelos de la compañía
Avión EasyJet. (Imagen: archivo)
EasyJet, sancionada con 8.000 euros por tardar cuatro meses en atender una petición
El reclamante solicitó acceder a sus datos a raíz de una reclamación económica que interpuso por la denegación de embarque en uno de los vuelos de la compañía
Avión EasyJet. (Imagen: archivo)
La compañía aérea EasyJet ha sido sancionada con 8.000 euros por tardar casi cuatro meses en hacer efectivo el derecho de acceso de un usuario que solicitó que la compañía le informase de cuáles de sus datos personales se encontraba en posesión. Aunque la propuesta de sanción inicial era de 10.000 euros, el reconocimiento de la responsabilidad en el error por parte de la empresa y el pago voluntario antes de la terminación del expediente supusieron la rebaja de 2.000 euros.
El reclamante solicitó acceder a sus datos a raíz de una reclamación económica que interpuso por la denegación de embarque en uno de los vuelos de la compañía. Dos días después de la primera comunicación por correo electrónico, a una de las direcciones que figuran en la página web, llegó el acuse de recibo, asegurando que procederían a trasladarlo al departamento correspondiente.
Pasaron casi tres meses y el reclamante volvió a insistir, advirtiendo que pondría la situación en conocimiento de la Agencia Española de Protección de Datos. Ahora si, le respondieron desde el departamento de protección de datos de EasyJet señalando que no habían recibido la solicitud inicial y solicitando una aclaración a la petición, pues consideraban que se estaba mezclando la reclamación económica con el derecho a la protección de datos.
“Solo incluía en su penúltimo párrafo una mención al ejercicio de su derecho de acceso conforme al RGPD. Si bien es cierto que la Sociedad trató el mensaje del reclamante inicialmente como una mera reclamación de daños y no como un ejercicio de derecho de protección de datos, este tampoco volvió a hacer referencia el ejercicio de su derecho de acceso hasta el 17 de marzo” (tres meses más tarde) “cuando exigió el pago de las indemnizaciones que le habían sido presuntamente reconocidas por AESA”, se excusa la compañía, que termina infiriendo de las comunicaciones que se intercambian que el reclamante tiene “una escasa preocupación sobre este asunto (la protección de datos), pudiendo extraerse que su intención exclusiva era el cobro de las cantidades económicas reclamadas en nada relacionadas con la protección de su derecho fundamental”.
Lo cierto es que en el asunto del primer correo electrónico enviado a la aerolínea ya se indicaba que se trataba de una “solicitud de derecho de acceso” y que la propia compañía reconoce que la solicitud nunca llegó a conocimiento del equipo de protección de datos al ser tratada como una reclamación. A partir del 17 de marzo, la compañía empieza a responder a una serie de correos de calado amenazante del reclamante que , en efecto, vincula la “terminación del asunto” al pago de las indemnizaciones. El 1 de abril, casi cuatro meses después, EasyJet remite al reclamante toda la información personal que figura en sus sistemas.
La AEPD indica que la compañía “no atendió debidamente el derecho de acceso ejercido por la parte reclamante” hasta que habían pasado casi cuatro meses, tiempo en el que tampoco recibió ninguna respuesta adecuada. Se desentiende de cuestiones que no son de su competencia como es el hecho de la vinculación del derecho a las reclamaciones y de la intención de fondo que pueda existir en el reclamante.
La Administración recuerda que el derecho de acceso, artículo 15 del RGPD, comprende que quien lo demande sea informado de las categorías de datos personales que sean objeto de tratamiento, de los fines de dicho tratamiento, de los destinatarios a los que se comunicaron o serán comunicados los datos personales, del plazo de conservación de los datos o de su origen, cuando no han sido proporcionados por la propia persona.
Así, por vulnerar el RGPD, la AEPD fija la sanción en 10.000 euros, la mitad de lo contemplado en el inicio del expediente. En este caso, son circunstancias agravantes la duración de la infracción y la vinculación de la actividad del infractor con la realización de tratamiento de datos personales. El pago voluntario y el reconocimiento de la responsabilidad acaban dejando la cuantía en 8.000 euros.