El procedimiento sancionador PS/00025/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a D. C.C.C. (Talleres Castelar), se inicia tras la denuncia presentada por D. G.G.G., cliente del taller del anterior, tras recibir un cargo en su cuenta corriente por servicios prestados que ya había abonado con anterioridad.
El fichero de “Clientes” del taller contiene una ficha correspondiente a D. G.G.G. en la que constan sus datos personales relativos a nombre, apellidos, DNI y dirección, que se habían utilizado en ocasiones anteriores para facturar los servicios del taller. Además de dichos datos se encontró un área tachada que, según manifestó D. C.C.C., había contenido un número de cuenta bancaria del cliente, integrado por nueve dígitos, que él nunca había proporcionado.
La AEPD dictamina:
El fichero de “Clientes” del taller contiene una ficha correspondiente a D. G.G.G. en la que constan sus datos personales relativos a nombre, apellidos, DNI y dirección, que se habían utilizado en ocasiones anteriores para facturar los servicios del taller. Además de dichos datos se encontró un área tachada que, según manifestó D. C.C.C., había contenido un número de cuenta bancaria del cliente, integrado por nueve dígitos, que él nunca había proporcionado.
La AEPD dictamina:
En el presente caso, C.C.C. es responsable de haber anotado en sus propios ficheros el dato personal del denunciante relativo a su cuenta bancaria, sin que conste acreditado que el mismo hubiese prestado su consentimiento para ello, no resultando suficiente a tales efectos las manifestaciones realizadas por C.C.C. sobre la obtención de dicho consentimiento del propio denunciante manifestado de forma verbal que, además, no ha sido reconocido por el mismo.
Por tanto, C.C.C. no ha justificado el origen del dato personal relativo a la cuenta bancaria del denunciante ni la prestación del consentimiento por parte del mismo para que aquél pudiera tratar este dato, registrándolo en sus ficheros y utilizando para hacer efectivo el cobro de la factura número ***, emitida en fecha 04/03/2007 a nombre del denunciante. Ambas actuaciones constituyen un tratamiento de los datos personales del denunciante sin su consentimiento, no excluido del ámbito de protección establecido en la LOPD, según ha quedado expuesto.Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a D. C.C.C., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.000,00 € (dos mil euros), de conformidad con lo establecido en el artículo 45.1, 2, 4 y 5 de la citada Ley Orgánica.