KFC, sancionada con 25.000 euros por falta de transparencia y recursos en la gestión de datos personales

La Agencia Española de Protección de Datos ha sancionado con 25.000 euros a la cadena de restaurantes de comida rápida KFC por no disponer de un delegado de protección de datos en España y por la falta de información al usuario sobre los datos suministrados por los clientes.

El asunto se inicia tras una reclamación basada en la imposibilidad de acceder de forma sencilla a la política de privacidad para usuarios del espacio económico europeo; porque el enlace principal llevaba a una web para los Estados Unidos. Además, al crear una cuenta en el sitio web obligaban al usuario a recibir ofertas y promociones, no disponían de una persona delegada de protección de datos a pesar de que se encargan de realizar actividades de publicidad y prospección comercial. Y en la política de privacidad no se detallaban los destinatarios de la información personal ni aparecen detallados los datos del responsable en materia de protección de datos.

KFC aseguró que tenía a disposición del usuario la información en varias a capas a través de su apartados web privacidad y multimarcas y que, entre ambos, contienen la información requerida por el artículo 13 del Reglamento General de Protección de Datos (RGPD). Reconocían, eso si, que les faltaba incluir una declaración para dirigir a los usuarios a la política de privacidad de cada lugar específico, pero aseguraron que corregirían el error antes de un mes. Admitieron otro error en lo relativo a la imposibilidad de crear una cuenta si no se acepta el envío de ofertas especiales y promociones. “El texto del segundo checkbox únicamente debería recoger la aceptación de los términos, condiciones de uso y la política de privacidad, aunque por error se incluyó la coletilla ‘para recibir ofertas especiales y promociones’ cuando debía exponer ‘Acepto los términos y condiciones de uso y la política de privacidad’. Aseguraban que ya lo habían solucionado. De la misma forma, ya habían solucionado otro error con un hiperenlace.

Por lo demás, la empresa alegaba que, dado que su actividad princial “no está relacionada con el tratamiento de datos a gran escala de forma sistemática”, sino que es una actividad auxiliar, no se ven compelidos por el artículo 91 del RGPD y entienden que no necesitaban un delegado de protección de datos. Ni se toman datos a gran escala ni de forma sistemática, insistían. Sobre la no aparición del responsable del tratamiento de los datos en la web, apuntaban que “tomamos nota de esta carencia e incorporaremos esta mejora para dotar de mayor claridad y transparencia a la información facilitada en las políticas de privacidad, redirigiendo a los usuarios a la Nota Legal en la política de privacidad para la identificación del responsable del tratamiento en cada territorio, incluido España”.

Imagen Política de Privacidad KFC

Inicialmente la AEPD aprecia una infracción del artículo 6.1 del RGPD por la inexistencia de un mecanismo que permita a los usuarios prestar su consentimiento al tratamiento sus datos personales para todas y cada una de las finalidades a las que destinaran los datos personales; una infracción del artículo 37 del RGPD, por la falta de nombramiento de un Delegado de Protección de Datos y una Infracción del artículo 13 del RGPD, por la falta de información suministrada en la “Política de Privacidad” sobre el tratamiento de los datos personales obtenidos.

La AEPD señala que la empresa realiza tratamientos para finalidades que no se terminan de especificar, que se exponen de forma genérica «permitiendo un tratamiento posterior ilimitado, una vez cumplido el fin para el que fueron obtenidos«. KFC obtiene los datos introducidos por los usuarios para la creación de una cuenta de usuario, para inscribirse como demandante de empleo o para realizar un pedido o recibir ofertas de forma recurrente. Y antes de poder enviar el formulario de cualquiera de los procedimientos, «es necesario haber proporcionado previamente el consentimiento para el tratamiento de los datos».

«Obviamente realiza un tratamiento de datos a gran escala de forma sistemática”

El organismo encargado de la Protección de Datos advierte a la empresa que el hecho de que la gestión de esos datos no constituya su actividad principal, no la exime de la obligación de contar con un delegado de protección de datos. Pone el ejemplo de un hospital: su actividad principal es proporcionar cuidados y salud, pero también cuentan con un responsable de protección de datos. Por tanto, debe tener un responsable protección datos. Y sí, afirma la AEPD, la recogida es sistemática y a gran escala, porque lo realiza de modo metódico y preestablecido como parte de un plan general de recogida de datos. “Un tratamiento a gran escala supone tratar una cantidad considerable de datos personales (todos los citados en su política de privacidad) en un determinado ámbito territorial (en este caso a nivel nacional); afectando a múltiples interesados (se trata de una app de amplia implantación y con un gran número de interesados); también si pueden entrañar alto riesgo (uno de los datos que utilizan es la de la geolocalización). Examinados los parámetros explicitados, obviamente realiza un tratamiento de datos a gran escala”, argumenta.

Por todo lo anterior, aunque finalmente no consideran que se pueda acreditar la infracción del artículo 6.1 del reglamento, sancionan a KFC con 20.000 euros por no disponer de un delegado de protección de datos, infringiendo el artículo 37 del RGPD y con 5.000 euros por la infracción del artículo 13 del RGPD, por la falta de información suministrada en la “Política de Privacidad” sobre el tratamiento de los datos personales obtenidos. Además, en el plazo de un mes, la cadena de comida rápida deberá haber implantado las medidas correctoras necesarias para adecuar su actuación a la normativa de protección de datos personales.