Una empresa de alquiler de coches deberá pagar 60.000 euros por no facilitar el acceso de un usuario a sus datos personales

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 60.000 euros a una empresa dedicada al alquiler temporal de coches por, entre otros motivos, no proporcionar a un usuario el acceso a sus datos personales; información que la mercantil había almacenado después de que el individuo arrendase uno de sus vehículos durante la temporada estival. La entidad, además, ha condenado a la compañía por superar el plazo de conservación de los datos personales de los clientes sin aportar una correcta justificación.

Según consta en el fallo (cuyo contenido puede consultarse pinchando en ‘descargar resolución’), la susodicha sanción va dirigida a la empresa Ok Mobility España, con oficinas en Mallorca, que después de estar dos semanas sin contestar al correo electrónico de un cliente, el cual solicitaba información relativa a sus datos personales, fue llevada ante la AEPD. En su escrito de reclamación, el usuario expresaba que había tratado de contactar con la mercantil a través de su email, pero que llevaba dos semanas sin recibir ninguna respuesta. Como consecuencia, solicitaba a la Agencia que tomase parte de la situación.

Para justificar esta falta, la compañía argumentó que el derecho del usuario «no fue atendido en tiempo y forma» debido a que fue solicitado en alemán, pues el individuo era de origen germano, por lo que se ignoró su solicitud. En este sentido, la empresa expresó también que, con el fin de subsanar su error, ya habían «adoptado un procedimiento de comunicación de ejercicio de derechos en países miembros, con la traducción de los mismos, para poder verificar que se atiendan correctamente». Unas alegaciones que comunicaron al demandante semanas después de que este presentara su reclamación ante la AEPD, y que acompañaron con los documentos que en un primer momento se habían solicitado.

No obstante esto, la Agencia Española de Protección de Datos —competente para sancionar a aquellos organismos que han incumplido algún artículo recogido en el Reglamento General de Protección de Datos (RGPD)— inició una investigación contra la mercantil, analizando en profundidad la información que ésta proporcionaba a través de su página web, así como el hilo de los mensajes que mantuvo con el afectado. En base a ello, consideró pertinente traer a colación lo recogido en los artículos 5, 13 y 15 del ya mencionado Reglamento de Protección de Datos.

(Imagen: E&J)

Una mirada al RGPD

De acuerdo este precepto legal, el artículo 5 establece que los datos personales serán «e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento […]».

Por su parte, el artículo 13 señala que «cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: a) la identidad y los datos de contacto del responsable y, en su caso, de su representante; b) los datos de contacto del delegado de protección de datos, en su caso; c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero; […]».

Finalmente, el artículo 15 recoge que » el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información: a) los fines del tratamiento; b) las categorías de datos personales de que se trate; c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales; d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo; […]».

Agencia Española de Protección de Datos. (Imagen: AEPD)

Una sanción de hasta 20 millones de euros

Todos estos artículos, según ha informado la AEPD, pueden ser constitutivos de una infracción tipificada en el artículo 83.5 del RGPD, el cual dispone que las infracciones llevadas a cabo por parte de una empresa se pueden llegar a sancionar con multas administrativas de hasta 20 millones de euros. Una suma que se calcula de acuerdo con la naturaleza, gravedad y duración de la infracción, así como valorando el número de afectados y el nivel de los daños y perjuicios sufridos por cada uno.

Partiendo de todos estos preceptos, la AEPD finalmente ha considerado adecuado sancionar a la empresa de alquiler de vehículos con 100.000 euros. Una multa que, al final, ha quedado reducida a 60.000 tras aceptar la AEPD el pago voluntario de la entidad, la cual ha reconocido su responsabilidad por, entre otras cuestiones, no resolver la petición del usuario en un plazo adecuado y, por otro lado, conservar los datos personales de sus clientes durante unos cinco años, sin justificar por qué motivo los retienen tanto.

Además, la Agencia ha aclarado que el hecho de haberse presentado una solicitud en alemán no puede entenderse como un impedimento para el ejercicio de tal derecho, «toda vez que el propio contrato ha sido firmado por la parte reclamante en alemán y a que la empresa presta sus servicios a interesados de tal país». En cuanto a la falta de representación aducida por la mercantil, la AEPD ha apuntado que si la compañía necesitaba acreditar la identidad de la parte reclamante, debió haberle solicitado tal información y, en cualquier caso, «debió informar al interesado sobre las razones de su no actuación y la posibilidad de presentar una reclamación ante la autoridad de control y ejercitar acciones judiciales».