La Agencia Española de Protección de Datos ha sancionado con 4.000 euros a Pinkgreen Barcelona, S. L. por revelar datos personales de dos clientes al responder a sus reseñas negativas en Google. La resolución ordena además a la empresa eliminar la información publicada y cesar en su tratamiento en un plazo de diez días.
El conflicto arrancó el 7 de mayo de 2024, cuando se presentaron dos reclamaciones contra el restaurante por el contenido de sus contestaciones a valoraciones publicadas en internet. En uno de los casos, un usuario había dejado una reseña negativa. En el otro, una valoración de una estrella sin comentario.
Datos personales expuestos en respuestas públicas
Uno de los denunciantes sostuvo que su perfil en la plataforma solo mostraba su nombre, sin apellidos ni fotografía identificativa. Pese a ello, la respuesta del establecimiento incluyó su nombre completo, la universidad en la que estudiaba, su orientación sexual y el nombre de su pareja. En ese mismo mensaje también aparecían datos de dos personas que le acompañaban.
La segunda reclamación denunciaba una contestación descrita como totalmente desproporcionada, en la que también se exponían datos identificativos. La AEPD comprobó en marzo y septiembre de 2025 que las dos reseñas seguían publicadas, de modo que las respuestas con datos personales continuaban visibles meses después.
La Agencia rechaza las alegaciones de la empresa
Durante el procedimiento, Pinkgreen Barcelona alegó indefensión al mantener que no había recibido comunicaciones previas. La Agencia descartó ese argumento y concluyó que no existió tal situación, al constar intentos de notificación electrónica y postal fallidos por causas imputables a la propia entidad. Después, además, se notificó el procedimiento sancionador con plazo para formular alegaciones.
La empresa también defendió que los datos difundidos procedían de perfiles públicos en redes sociales. La AEPD rechazó esa justificación y recordó que la presencia de información en internet no autoriza a recopilarla y volver a publicarla sin una base legitimadora válida.
"El hecho de que estos datos figuren en las redes sociales no implica que cualquiera pueda recopilarlos y publicarlos sin base legitimadora" - Agencia Española de Protección de Datos
Especial gravedad por difundir la orientación sexual
La resolución considera que la actuación del restaurante constituye un tratamiento de datos personales, al difundirse esa información en una plataforma abierta. La Agencia concluye que ese tratamiento no contaba con base de legitimación conforme al Reglamento General de Protección de Datos.
El expediente subraya la especial gravedad de haber publicado datos relativos a la orientación sexual de uno de los afectados. La propia resolución recuerda que están prohibidos los tratamientos de datos personales que revelen aspectos de la vida sexual o la orientación sexual, y añade que en este caso no concurre ninguna de las excepciones previstas para permitir el uso de esa categoría especial de datos.
"Se deduce claramente la intencionalidad de publicar dichos datos a la parte reclamante que le había realizado, a su juicio, una mala reseña" - Agencia Española de Protección de Datos
La sanción se desglosa en 2.500 euros por vulnerar el artículo 9 del RGPD, relativo a categorías especiales de datos, y 1.500 euros por infringir el artículo 6, sobre la licitud del tratamiento. La resolución incide en que la difusión de datos en internet permite el acceso por parte de terceros sin restricción alguna, un alcance que ha pesado en la decisión final del organismo.