Este post proviene de esta fuente de noticias
La Autoridad Holandesa de Protección de datos ha impuesto una sanción récord de 2,75 milloes de euros al Ministerio de Hacienda por un tratamiento ilícito de datos personales, en la medida que no existía base de legitimación alguna para ello.
En consecuencia, determina la DPA que se ha producido un incumplimiento del art. 5, en relación con el 6.1 y el 8 RGPD. Recordemos que el Reglamento establece que para que el tratamiento sea lícito tiene que cumplir alguna de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño
A pesar de estos preceptos, las autoridades holandesas trataron la nacionalidad de los interesados para combatir el fraude organizado, si bien los datos no eran necesarios para ellos. Aparte, procesaron la doble nacionalidad de los solicitantes de subsidio por cuidado de niños de forma discriminatoria e ilícita.
Por último, destaca la DPA que la administración tributaria utilizó la nacionalidad de los solicitantes como indicador en un sistema que designaba automáticamente ciertas solicitudes como de alto riesgo, es decir, utilizó un modelo de clasificación de riesgos a través de algoritmos (toma de decisiones automatizada), sin que el tratamiento a través de esta vía tampoco fuera necesario.
Puede consultar la resolución completa haciendo clic aquí.
- Sanción de 2,75 millones por tratamiento ilícito de datos personales
- Cifrado y Privacidad: La clave como dato personal
- La UNE publica la ISO 27701, para la Gestión de la Privacidad de la Información
- Sanción por consultar datos en un fichero ASNEF
- Sanción por envío de comunicaciones comerciales sin consentimiento
- Orden de convocatoria para el proceso selección a la Presidencia de la AEPD
