La Agencia Española de Protección de Datos (AEPD) ha sancionado a una empresa que ofrece cursos de formación con 3.500 euros, por vulnerar el principio de licitud del tratamiento recogido en el RGPD. En este caso, una exalumna presentó una reclamación ante la AEPD por considerar vulnerada la normativa en materia de protección de datos al acceder al portal de la web de la empresa y comprobar que, al introducir sus datos de DNI, se podían visualizar otros datos personales concernientes a su persona. 

La AEPD inició una investigación comprobando que, introduciendo el DNI de un particular que había realizado el curso, automáticamente, el sistema mostraba todos los datos personales que la empresa había recopilado sobre él (en concreto, mostraba su nombre, apellidos, población, móvil, dirección de email, año de nacimiento, sexo y entidad en la que había realizado el curso). Al comunicarle tales hechos a la empresa, esta defendió, por un lado, que almacenaba los datos para facilitar la cumplimentación de futuras inscripciones por parte de sus alumnos; y, por otro lado, la empresa señalaba que los interesados podían revocar la autorización de la muestra de sus datos personales a través del DNI en cualquier momento. Por último, respecto a la conservación de los datos personales de los alumnos para futuras inscripciones, la AEPD comprobó que no se establecía un plazo exacto de conservación de los mismos. La empresa únicamente informaba al interesado de la conservación de sus datos personales desde que se otorga el consentimiento hasta que se revoque o se solicite la limitación del tratamiento.

La AEPD ha sancionado a la entidad Gestió Inscripcions I Control Curses SL con 3.500 euros por (i) vulnerar el principio de licitud del tratamiento y (ii) por no establecer las medidas técnicas y organizativas adecuadas para el tratamiento de los datos. En el caso de que la empresa decida reconocer su responsabilidad, la sanción será de 2.800 euros.

Más información: https://www.aepd.es/documento/ps-00389-2023.pdf