La Agencia Española de Protección de Datos (AEPD) ha resuelto un procedimiento transfronterizo dirigiendo un apercibimiento a TRAVELCONCEPT, S.L.U. (Logitravel) por vulneración del artículo 15 del Reglamento General de Protección de Datos (RGPD), relativo al derecho de acceso del interesado.
Los hechos
El caso se inició cuando un ciudadano alemán recibió en septiembre de 2023 un correo publicitario de Logitravel sin haber dado de alta conscientemente en sus servicios. Ese mismo día, el afectado ejerció su derecho de acceso solicitando copia de sus datos, información sobre su origen y la base jurídica del tratamiento.
La empresa respondió ocho días después confirmando únicamente la baja del usuario de sus listas comerciales, pero omitió completamente la información solicitada en ejercicio del derecho de acceso. No fue hasta octubre de 2024, tras el requerimiento de la AEPD en el marco del procedimiento, cuando Logitravel facilitó finalmente la información requerida, más de un año después de la solicitud inicial.
Procedimiento transfronterizo
La reclamación se presentó ante la autoridad alemana de protección de datos de Baja Sajonia, que la trasladó a la AEPD a través del Sistema de Información del Mercado Interior (IMI) al tener Logitravel su establecimiento principal en España. La AEPD actuó como autoridad de control principal conforme al artículo 56 del RGPD, siguiendo el mecanismo de cooperación del artículo 60.
Alegaciones de la empresa
Logitravel reconoció los hechos y mostró conformidad con el apercibimiento. Explicó que la falta de respuesta no fue deliberada sino consecuencia de una incidencia en sus procedimientos internos: al solicitar el usuario simultáneamente la baja y el acceso a sus datos, el personal entendió erróneamente que con la baja quedaba concluido el trámite, sin atender el derecho de acceso.
La empresa indicó haber implementado medidas correctivas tras detectar el problema a finales de 2023, incluyendo actualización de procedimientos, acciones de sensibilización al personal y formación específica.
Resolución
La AEPD considera acreditada la infracción del artículo 15 del RGPD, tipificada en el artículo 83.5.b) del mismo Reglamento como infracción muy grave. No obstante, atendiendo a las circunstancias del caso (incidencia puntual, conformidad de la empresa, medidas correctivas adoptadas), opta por dirigir un apercibimiento en lugar de imponer sanción económica, conforme a la facultad prevista en el artículo 58.2.b) del RGPD.