Sentencia Contencioso-Administrativo Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Primera, Rec. 1824/2021 de 29 de octubre del 2024

PRIMERO.-Se impugna en el presente recurso contencioso-administrativo la Resolución de la Directora de la Agencia Española de Protección de Datos de fecha 4 de mayo de 2021 dictada en el procedimiento sancionador PS/00059/2020, que desestima el recurso de reposición interpuesto por VODAFONE España SAU (Vodafone) frente a la Resolución de 11 de febrero de 2021, que impone a VODAFONE:

-Por una infracción del artículo 28 del Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, ( Reglamento General de Protección de Datos, en lo sucesivo RGPD) en relación con el artículo 24 del RGPD, tipificada en el artículo 83.4.a) de dicho Reglamento, una sanción administrativa en cuantía de 4.000.000 €.

-Por una infracción del artículo 44 del RGPD, tipificada en el artículo 83.5.c) del citado RGPD, una sanción administrativa en cuantía de 2.000.000 €.

-Por una infracción del artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), tipificada como grave en el artículo 38.3.d) y c) de dicha norma, con una sanción en cuantía de 150.000 €.

-Por una infracción del artículo 48.1.b) de la Ley 9/2014, General de Telecomunicaciones ( LGT) , en relación con el artículo 21 del RGPD y el artículo 23 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), tipificada como grave en el artículo 77. 37 de la LGT con una sanción de 2.000.000 €.

Asimismo, dicha resolución ordena a VODAFONE, que en el plazo de seis meses a contar desde la notificación de la presente resolución, acredite ante la Agencia Española de Protección de Datos (AEPD) que ha ajustado a lo dispuesto en el RGPD y LOPDGDD todas las operaciones de tratamiento analizadas en el presente procedimiento referidos a los artículos 17, 21, 24, 28 y 44 a 49 del RGPD y 12, 15, 18, 23, 40 a 43 de la LOPDGDD.

Infracciones, que conforme la resolución recurrida, están conectadas con acciones de mercadotecnia y prospección comercial efectuadas en nombre y por cuenta de Vodafone, a través de llamadas telefónicas y mediante envío de comunicaciones comerciales electrónicas (mensajes SMS y correos electrónicos).

La primera de las infracciones se sustenta por la AEPD en que VDF es la responsable de los tratamientos de datos analizados, pues conforme define el art 4.7 del RGPD es la entidad que determina la finalidad y medios de los tratamientos realizados en acciones de mercadotecnia directa de las tres entidades (VDF, ONO, LOWI). Y en su condición de responsable del tratamiento está obligada a cumplir con lo dispuesto en el art 24 del RGPD y, en especial, el control efectivo y continuado de "medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento", entre las que se encuentran las dispuestas en el artículo 28 del RGPD en relación con los encargados de los tratamientos que actúan en nombre y por cuenta de VDF.

Considera que se ha vulnerado por Vodafone, en su condición de responsable del tratamiento, el Art 44 RGPD, sobre transferencia internacional de datos, al haber consentido con pleno conocimiento puesto que así consta en el contrato, que el encargo de tratamiento efectuado a Casmar se lleve a cabo por la entidad subencargada (A-Nexo) en nombre y por cuenta de VDF, en un tercer país (Perú), sin cumplir las debidas garantías que exige el RGPD.

Entiende que las comunicaciones electrónicas (SMS, email) denunciadas han infringido la LSSICE al haberse realizado sin que hayan sido solicitadas o expresamente autorizadas y/o sin atender el ejercicio del derecho a oponerse al envío de nuevas notificaciones.

Asimismo, considera infringida la LGT, al realizarse acciones comerciales por cuenta y en nombre de VDF a través de llamadas realizadas a destinatarios (usuarios finales) que habían ejercido el derecho de oposición, ante la propia VDF o ante cada una de las entidades intervinientes en el tratamiento encomendado por VDF en su propio nombre o bien a numeraciones "Robinson".

SEGUNDO.-La actora impugna los hechos declarados probados por la resolución sancionadora, realiza un análisis pormenorizado de los mismos y sustenta su pretensión impugnatoria en una serie de motivos cuyo examen pasamos a efectuar.

Alega, en primer lugar, infracción del artículo 90.1 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP).

Aduce a tal fin, que, conforme al citado precepto, la resolución de un procedimiento sancionador debe incluir un contenido esencial, consistente en la determinación de los hechos imputados al supuesto infractor, la subsunción de los hechos en la norma que se reputa infringida etc. Sin embargo, la mayoría de los hechos declarados probados por la Agencia consisten en descripciones genéricas de determinados modelos operacionales de Vodafone, sin referencia a datos, fechas, personas o entidades o, en otras ocasiones, las referencias lo son a muestreos o ejemplos, de forma que no se especifican los concretos hechos en los que se basa la Resolución ni los casos específicos en que las supuestas infracciones se han materializado.

Considera, que la falta del análisis detallado de los hechos y, por tanto, la infracción de lo dispuesto en el artículo 90.1 de la Ley 39/2015, debe llevar a la anulación de la resolución.

El artículo 90.1 que se invoca como infringido, establece: "1. En el caso de procedimientos de carácter sancionador, además del contenido previsto en los dos artículos anteriores, la resolución incluirá la valoración de las pruebas practicadas, en especial aquellas que constituyan los fundamentos básicos de la decisión, fijarán los hechos y, en su caso, la persona o personas responsables, la infracción o infracciones cometidas y la sanción o infracciones cometidas y la sanción o sanciones que se imponen, o bien la declaración de no existencia de infracción o responsabilidad."

Al respecto hay que reseñar que la resolución contiene un total de 24 hechos probados, que se complementan e integran con el Anexo 1, al que se hace expresa referencia en el hecho probado vigésimo cuarto y que se adjunta a dicha resolución. Se trata de un detallado Anexo, compuesto de 38 hojas, ordenado por la fecha de entrada en la AEPD de las 162 reclamaciones a que se refiere, especificando en diversas columnas: el nombre del reclamante; texto de la reclamación presentada; fecha de la acción publicitaria; línea emisora/receptora; fecha acreditada de inclusión en los listados de exclusión publicitaria; Robinson/Derechos/Consentimiento etc.

Por tanto, ninguna generalidad o abstracción cabe apreciar, sino referencia a hechos concretos que han sido investigados, habiéndose dado a la parte la posibilidad de rebatirlos. Así, además de la documentación aportada con las reclamaciones, se ha requerido a la Asociación Española de Economía Digital para que certifique la inclusión y fecha de la misma de las numeraciones telefónicas que se relacionan en las páginas 31 a 34 de la resolución sancionadora, valorándose las 162 reclamaciones que figuran en el Anexo, tras haberse descartado previa su valoración otras 29. También se ha requerido en múltiples ocasiones información a VDF y se ha efectuado inspección en su sede los días 18 y 30 de septiembre de 2019, levantándose acta a la que se adjunta la documentación recabada incorporada; se detallan los contratos suscritos con Casmar y Three Quarters Full S.L, entre Casmar y A-Nexo, etc.

Todo lo cual se recoge en los Antecedentes de dicha resolución, que resumen las actuaciones de investigación llevadas a cabo, valorando en los Fundamentos de Derecho dichas actuaciones y argumentando sobre la concurrencia de las infracciones apreciadas y su atribución a Vodafone.

En consecuencia, no cabe hablar de falta de determinación de los hechos probados, al reunir la resolución los requisitos de claridad y concreción que le son exigibles, ni tampoco cabe apreciar indefensión al respecto, por lo que debe rechazarse la infracción alegada del artículo 90.1 LPACAP.

TERCERO.-En segundo lugar, se alega incorrecta atribución del rol de responsable del tratamiento a Vodafone en relación con las actividades de mercadotecnia llevadas a cabo por las Entidades Colaboradoras.

Alega que, en el primer hecho declarado probado, la Agencia atribuye el rol de responsable del tratamiento a VDF respecto de aquellas actividades de mercadotecnia en las que participan las Entidades Colaboradoras, que son en las que, esencialmente, se centra la resolución recurrida, y esa consideración de Vodafone como responsable del tratamiento es la que sirve para atribuir a Vodafone las cuatro infracciones y sus correspondientes sanciones.

Esgrime que Vodafone no siempre actúa como responsable del tratamiento en todas aquellas actividades en que interviene un tercero o, en palabras de la resolución, entidades "colaboradoras/agentes/distribuidoras"(las Entidades Colaboradoras).

Al respecto, explica que la captación de clientes se realiza por Vodafone a través de dos procedimientos o canales diferenciados, tanto en sus correspondientes obligaciones como implicaciones,

Uno, en que las actividades de mercadotecnia son gestionadas directamente por Vodafone, que utilizan las bases de datos de la propia entidad por medio de sus canales internos, esto es, por los Departamentos de Marketing y Televenta (TVTA), este último a través de entidades contratadas por Vodafone integrantes de la Plataforma TVTA (entidades relacionadas en la página 6, in fine,y 7 de la resolución sancionadora), que actúan por cuenta y bajo las exclusivas instrucciones de Vodafone, como encargados de tratamiento, con las que ha suscrito los correspondientes contratos de encargo.

Y otro diferente en que las campañas de mercadotecnia son efectuadas a través de colaboradores externos, ajenos y no exclusivos de Vodafone: las Entidades Colaboradoras (a las que la Resolución denomina "Distribuidores / Colaboradores / Agentes"), en concreto y por lo que se refiere a este caso Casmar Telecom S.L. (Casmar) y Three Quaters Full S.L. (TQF), que llevan a cabo sus servicios de forma libre e independiente, determinando a los interesados a los que se dirigen su actividad, utilizando sus propias bases de datos y clientes.

Dentro de esta segunda modalidad diferencia la actora, a su vez, dos fases: la primera en que las Entidades Colaboradoras contactan con potenciales nuevos clientes y una segunda de realización del alta de los clientes que han dado su consentimiento a la contratación y al tratamiento de sus datos por Vodafone. Señala que las infracciones que la Agencia imputa a Vodafone se habrían producido en esa primera fase, esto es, al realizar llamadas a los interesados.

Sin embargo, indica, en esa primera fase de contactos con potenciales nuevos clientes, dichas Entidades Colaboradoras actúan con total independencia de Vodafone, que no da ninguna indicación sobre el tipo de campaña a realizar, siendo cada Entidad Colaboradora la que decide sobre los fines y los medios del tratamiento y los datos que emplean para realizar las campañas o son generados aleatoriamente o son de sus propias bases de datos, de forma que los datos utilizados por estas entidades no son tratados por cuenta ni bajo las instrucciones de Vodafone.

En esa primera fase, según la actora, Vodafone no juega rol alguno y la Entidad Colaboradora es responsable del tratamiento.

Es decir, según la actora, esas empresas son responsables del tratamiento hasta la captación del cliente y solo cuando la persona contactada decide contratar con Vodafone, la Entidad Colaboradora gestiona el alta y empieza la denominada segunda fase, en que Vodafone pasa a ser responsable del tratamiento de los datos de aquellos clientes que han consentido la contratación y facilitado sus datos personales, actuando la Entidad Colaboradora en esta segunda fase con amparo del contrato de encargo de tratamiento suscrito con Vodafone, fase ésta en la que, aduce, la AEPD no ha detectado infracción alguna.

Por ello, remarca, si se entiende que las actividades de mercadotecnia son llevadas a cabo por las Entidades Colaboradoras, en esa primera fase, en su rol de responsable del tratamiento, las cuatro infracciones apreciadas por la resolución recurrida deberían atribuirse en su caso a dichas Entidades y no a Vodafone.

La cuestión así suscitada se centra en determinar si Vodafone es responsable del tratamiento de las campañas de mercadotecnia efectuadas por dichas Entidades Colaboradoras.

A tal fin, debemos partir de la definición de responsable y encargado del tratamiento contenidas en el artículo 4 del RGPD.

Conforme a dicho precepto «A efectos del presente Reglamento se entenderá por:

7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio público u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento (...).

8)« encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento".

Con carácter preliminar, procede recordar que el objetivo perseguido por el RGPD, tal como se desprende de su artículo 1 y de sus considerandos 1 y 10, consiste, en particular, en garantizar un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas, sobre todo de su derecho a la vida privada respecto del tratamiento de los datos personales, consagrado en el artículo 8, apartado 1, de la Carta y en el artículo 16 TFUE, apartado1 (sentencia del Tribunal de Justicia de la Unión Europea ( TJUE) de 4 de mayo 2023 C-60/22, aparatado 64.

Conforme a este objetivo, el artículo 4, punto 7, de dicho Reglamento define, de manera amplia, el concepto de «responsable del tratamiento», pues tal como ya ha declarado el Tribunal de Justicia, el objetivo de esta disposición consiste en garantizar, mediante una definición amplia del concepto de «responsable del tratamiento», una protección eficaz y completa de los interesados (véase en este sentido, por analogía, la STJUE de 5 de junio de 2018, C-40/2016, apartado 28).

En este sentido establece la STJUE de 5 de diciembre de 2023, C-807/21, en su apartado 40, que el objetivo de esta definición amplia del artículo 4, punto 7, del RGPD "consiste, de conformidad con el del RGPD, en garantizar una protección eficaz de las libertades y de los derechos fundamentales de las personas físicas y, en particular, un elevado nivel de protección del derecho de toda persona a la protección de los datos personales que le conciernan (véanse, en este sentido, las sentencias de 29 de julio de 2019, Fashion ID, C-40/17 , EU:C:2019:62 , apartado 66, y de 28 de abril de 2022, Meta Platforms Ireland, C-319/20 , EU:C:2022:322 , apartado 73 y jurisprudencia citada)".

De tal forma que, para dilucidar si Vodafone debe ser calificada de responsable del tratamiento, es preciso averiguar si determina, por si sola o junto con otros, los fines y medios del tratamiento, para lo que debe estarse a las circunstancias de l caso, tal como indican las Directrices 07/2020, de 2 de septiembre de 2020, del Comité Europeo de Protección de Datos, relativas a los conceptos de responsable y encargado en el RGPD ("Directrices 07/2020") citadas en la demanda.

Pues bien, en el presente caso los finesdel tratamiento los define Vodafone, no las terceras empresas colaboradoras, que no contactan para ofertar sus propios productos ni servicios, ni para captar clientes con sus propias condiciones para después ofertarlos a diferentes compañías. Por el contrario, efectúan llamadas ofertando los servicios de Vodafone, con los precios de dicha operadora, que es la que fija las condiciones a ofertar, para captar clientes en un determinado periodo de tiempo, el que dure la campaña. Es decir, las entidades colaboradoras en su relación con VDF no deciden sobre la finalidad de sus bases de datos, sino que es VDF quien les indica para que pueden utilizarlas, son contratadas para cumplir con el objetivo fijado por Vodafone -captación de clientes para la operadora- con exclusividad, y son retribuidas por la prestación de dicho servicio, como vamos a ver. Alega la actora que las Entidades Colaboradoras tratan los datos para finalidades distintas de la propia relación con VDF, pero dicha utilización, caso de existir, no sería en el seno de la relación con VDF, dada la relación de exclusividad mantenida.

En cuanto a los medios,es Vodafone quien decide como se lleva a cabo el tratamiento, permitiendo que dichas Entidades Colaboradoras utilicen sus propias bases de datos, o que realicen llamadas aleatorias o utilicen bases de datos suministrados por Vodafone.

Incide la actora en que las Entidades Colaboradoras actúan en favor de Vodafone en el tráfico civil, pero no por cuenta de dicha entidad desde un punto de vista de protección de datos.

Ahora bien, en el contrato Prestación de Servicios Canal Presencial 2019-2020, suscrito el 1 de mayo de 2019, entre VDF y la Entidad Casmar, obrante a los folios 9603 y siguientes del expediente, al que alude la actora en la página 14 de la demanda, se dice, en su Exponendo VI "Que por lo anterior, el ámbito de prestación de servicios es la promoción door-to-door de los Servicios en nombre y por cuentade VODAFONE-ES y de VODAFONE-ONO. En este sentido, el COLABORADOR no podrá actuar por su propia cuenta (i) ni en relación con los Servicios mediante la reventa de los mismos, (ii) ni en relación con la comercialización y distribución de los Productos asociados a los Servicios mediante la reventa de los mismos".

Es de destacar la Cláusula Segunda "Objeto del contrato", que recoge "2. 1 El objeto del presente contrato es la promoción comercial de los Servicios de VODAFONE (...)"y "2.2 El COLABORADOR como contraprestación a su actividad de promoción comercial (...) percibirá de VODAFONE los pagos que se establecen en el Anexo 1 del presente contrato".También la cláusula Cuarta "carácter exclusivode la relación para el colaborador", al establecer en el apartado 4.1 que el Colaborador no podrá, ni directa, ni indirectamente, promover la comercialización de servicios de otros operadores,empresas o profesionales, que intervengan en el mercado en el que opera Vodafone, "debiendo desarrollar su actividad en este campo por cuenta y en nombrede VODAFONE".

Por su parte, dentro de la cláusula Sexta "Característica de la actividad", cabe hacer referencia al apartado 6.1, según la cual, el Colaborador podrá utilizar terceros colaboradores siempre que exista notificación previa, expresa y escrita a Vodafone. Al 6.2: El Colaborador no podrá actuar por su propia cuenta en relación con los Servicios de VDF, así como al 6.6: Vodafone facilitará al Colaborador con antelación suficiente y en cantidad apropiada los muestrarios, catálogos, tarifas y demás documentos necesarios para el ejercicio de su actividad comercial, así como todas las informaciones necesarias para la ejecución del contrato. También al apartado 6.7, a cuyo tenor, el Colaborador deberá informar a Vodafone de todos aquellos números de teléfono a través de los cuales tanto el Colaborador como sus terceros colaboradores utilicen para contactar con Clientes o posibles Clientesde Vodafone el desarrollo de la actividad objeto de dicho contrato.

Asimismo, cabe hacer referencia en la cláusula Decimoprimera. "Propiedad Industrial e Intelectual", al apartado 11.4, en que el Colaborador reconoce expresamente que VDF ostenta todos los Derechos de propiedad Industrial relativos a los servicios y productos que comercializa el Colaborador, por lo que este último deberá ajustarse estrictamente a las directrices e instrucciones proporcionadas por VDF.

Y finalmente aludir al Anexo IV de dicho contrato "Acuerdo de Tratamiento de Datos Personales de VODAFONE", en cuyo apartado 2 "Tratamiento según las instrucciones de VDF", sub apartado 2.1 se indica que el Encargado de Tratamiento garantiza y se compromete en todo momento, a que solo tratará los Datos Personales para llevar a cabo las actividades encomendadas en el Acuerdo, de conformidad con las finalidades encomendadas y, únicamente actuará conforme a las indicaciones facilitadas por escrito por VDF.

Todo lo cual resulta aplicable a la relación existente entre la Entidad Colaboradora Three Quarters Full S.L. con la que Vodafone firmó un Contrato Prestación de Servicios Canal Presencial de 1 de mayo 2019, págs. 5928 y siguientes y 9672 y siguientes, cuyo objeto y resto de cláusulas son similares a las del contrato con Casmar.

El hecho de que las Entidades Colaboradoras utilicen sus propias bases de datos de clientes potenciales y no las facilitadas por Vodafone, no incide en lo expuesto, por cuanto no decae el control y dirección de VDF en el tratamiento de datos personales. Así, es Vodafone quien indica al colaborador para que puede utilizarlas y como debe hacerlo, suministrando instrucciones para realizar los tratamientos en el marco de un contrato en el que el colaborador actúa y trata los datos por cuenta de Vodafone. Además, frente a lo alegado en la demanda, se ha constatado (cláusula 6.7 citada más arriba) que el colaborador deberá informar a Vodafone de todos aquellos números de teléfono que utilice para contactar no sólo con clientes sino también con potenciales clientes, lo que carecería de razón de ser si dichas bases de datos fueran tratadas de forma independiente por las Entidades Colaboradoras y no por cuenta y bajo las instrucciones de VDF.

Abundando en lo expuesto hay que hacer referencia a las comunicaciones remitidas por VDF el 19 de noviembre de 2018 y 30 de julio 2019 a sus colaboradores, Casmar y TQF, así como a otras posteriores, en las que se indica, que en el caso de que los colaboradores realicen una campaña utilizando sus propias bases de datos, no facilitadas por VDF, deberán asegurarse de que cuentan con la aprobación previa y expresa de Vodafone para realizar la campaña concreta de que se trata; que disponen de los datos de forma lícita, informando y obteniendo el consentimiento de los titulares para poder realizar acciones comerciales en nombre de Vodafone, estando prohibido el uso de bases de datos que no cumplan estos requisitos; filtrar sus bases de datos con las listas Robinson públicas, por ejemplo, la gestionada por Adigital, con carácter previo al inicio de la campaña y no utilizar medios de comunicación que no hayan sido consentidos por los destinatarios de la campaña; que proporcione un medio sencillo para que cualquier destinatario de la campaña pueda comunicar su voluntad de no continuar recibiendo llamadas o mensajes comerciales en nombre de VDF y trasladar a Vodafone inmediatamente los datos de aquellos destinatarios que les hayan comunicado que no desean recibir más comunicaciones comerciales y asegurarse de que no vuelven a contactar con ellos en futuras emisiones.

En definitiva, Vodafone es responsable del tratamiento en dichas acciones de mercadotecnia cuando se realizan a través de distribuidores y colaboradore ajenos a ella, por cuanto atendiendo a sus propios objetivos, influye en el tratamiento de datos personales y participa en la determinación de los fines y los medios de dicho tratamiento y la Entidad Colaboradora es encargada del tratamiento desde el principio, sin interrupción.

Po lo tanto, las entidades que hayan sido contratadas por las entidades colaboradoras tendrán la condición de subencargadas del tratamiento.

CUARTO.-Continuando con el examen de dicho motivo, esgrime la actora que el artículo 46 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 establece que la entidad contratada para realizar actividades publicitarias será considerada responsable del tratamiento cuando determine los parámetros a utilizar en la campaña en cuestión. Precepto que considera sigue vigente a tenor de la Disposición derogatoria única de la LOPDGDD, por entender que no entra en contradicción con el RGPD ya que el concepto de responsable y encargado del tratamiento no se ha visto modificado por el RGPD ni la LOPGDD.

El citado artículo 46, rubricado "tratamiento de datos en campañas publicitarias", establece en su apartado 2 que "En caso de que una entidad contrate o encomiende a terceros la realización de determinada campaña publicitaria de sus productos o servicios, encomendándole el tratamiento de determinados datos se aplicarán las siguientes normas: a) Cuando los parámetros identificativos de los destinatarios de la campaña sean fijados por la entidad que contrate la campaña, ésta será la responsable del tratamiento de los datos; b) Cuando los parámetros fueran determinados únicamente por la entidad o entidades contratadas, dichas entidades serán las responsables del tratamiento (...)."

Con independencia de si dicho precepto sigue vigente y si se encuentra o no superado por el RGPD, resultando dudoso que un reglamento pueda determinar la condición de responsable o encargado del tratamiento tras la entrada en vigor del RGPD, lo cierto es que, en cualquier caso, y frente a lo alegado en la demanda, Vodafone si determina a quien va dirigida la campaña: a quienes no sean clientes de Vodafone. El objetivo pretendido por VDF con dichas campañas comerciales es aumentar su base de clientes, captar nuevos clientes y por ello impone a Casmar, citada en la página 14 de la demanda, que los objetivos potenciales de la campaña "no sean clientes de Vodafone",como así se lo ha reconocido Casmar en vía administrativa, parámetro suficiente, en este caso, a tenor de la finalidad perseguida con la campaña.

Aduce también VDF que la AEPD no ha examinado la trascendencia del hecho de que se produjeran llamadas a números generados aleatoriamente, no siendo posible concluir si ese número de teléfono debe ser en todo caso calificado como dato personal porqué esté o pueda estar asociado a una persona determinada.

En relación con el concepto de datos personales que da el artículo 4, punto 1, del RGPD, el Tribunal de Justicia ha declarado que una información se refiere a una persona física identificada o identificable cuando, debido a su contenido, finalidad o efectos, la información está relacionada con una persona identificable ( STJUE de 4 de mayo 2023, C-487/21, apartado 24 y jurisprudencia citada). Y por lo que respecta al carácter «identificable» de una persona, de la redacción del artículo 4, punto 1, del RGPD se desprende que una persona identificable es aquella que puede ser identificada no solo directa, sino también indirectamente. Como ha declarado el Tribunal de Justicia, el uso por el legislador de la Unión del término «indirectamente» muestra que, para calificar una información de dato personal, no es necesario que dicha información permita, por sí sola, identificar al interesado (véase, por analogía, la sentencia de 19 de octubre de 2016, C-582/14, apartado 41). Al contrario, del artículo 4, punto 5, del RGPD, en relación con el considerando 26 de dicho Reglamento, se desprende que los datos personales que cabría atribuir a una persona física mediante la utilización de información adicional deben considerarse información sobre una persona física identificable ( sentencia de 5 de diciembre de 2023, C-683/21).

Por otra parte, dicho considerando 26 precisa que, para determinar si una persona es «identificable», deben tenerse en cuenta «todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física».

Dicho tenor sugiere que, para que un dato pueda ser calificado de «dato personal», en el sentido del artículo 4, punto 1, de dicho Reglamento, no es necesario que toda la información que permita identificar al interesado se encuentre en poder de una sola persona (véase, por analogía, la citada sentencia de 19 de octubre de 2016, C-582/14).

Se trata, en suma, de un concepto muy amplio, habiendo reiterado la Sala entre otras en las SSAN de 23 de julio de 2019 (Rec. 146/2018) y 7 de marzo de 2024 (Rec. 2282/21, que dicho concepto incluye "también el número de teléfono, incluso sin aparecer directamente asociado a una persona, siempre que a través de él se pueda identificar a su titular ( SAN de 26 de enero de 2005, Rec. 1258/2002)".

En el caso de autos, del examen del Anexo 1 de la resolución sancionadora, se constata que la mayoría de las llamadas denunciadas se producen a números fijos, que es un dato que junto con otros datos personales (nombre y apellidos etc) se encuentra reflejado en la guía general de abonados del artículo 25.1.c) de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, precepto que hay que conectar con el artículo 30.4 del Real Decreto 424/2005, de 25 de abril, por el que se aprueba el Reglamento sobre condiciones para prestación de servicios de comunicaciones electrónicas, servicio universal y protección de usuarios.

Por tanto, a la vista de lo expuesto, los números de teléfonos fijos en cuestión junto con los datos citados, que pueden identificar a quien pertenece, constituyen un dato de carácter personal, lo cual vale también para las llamadas realizadas mediante generación de numeraciones aleatorias.

Procede señalar, asimismo, que, según reiterada jurisprudencia, la interpretación de una disposición del Derecho de la Unión requiere tener en cuenta no solo su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte ( STJUE de 22 de junio de 2023, C-579/21 apartado 38 y jurisprudencia citada).

Y en el caso de autos estamos ante un dato personal que hace a la persona identificable, en relación con el contexto, por cuanto la finalidad de dichos tratamientos y la razón por la que se realizan no es otra que identificar a la persona para darla de alta como cliente de VDF.

QUINTO.-Sentado lo anterior, señalar que la relación jurídica de encargo del tratamiento debe cumplir con las prescripciones del artículo 28 del RGPD, precepto que en relación con el artículo 24 del mismo Reglamento (Responsabilidad del responsable del tratamiento), considera la AEPD que ha sido vulnerado por Vodafone sancionándola por ello.

El artículo 28, apartado 1 del RGPD, señala que "1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado".

Esta obligación no se agota en la actuación de selección y contratación del encargado del tratamiento, sino que se trata de una obligación continúa y obliga al responsable del tratamiento a evaluar durante la ejecución del contrato si las garantías (técnicas u organizativas) ofrecidas por el encargado del tratamiento son suficientes. En este sentido, señalan las Directrices 07/2020 del Comité Europeo de Protección de Datos, que "97. La obligación de utilizar únicamente los encargados de tratamiento "que proporcionan garantías suficientes", contenidas en el artículo 28, apartado 1, del RGPD, es una obligación continúa. No termina en el momento en que el responsable y el encargado del tratamiento celebran un contrato u otro acto legal. En su lugar, el responsable debe a intervalos apropiados, verificar las garantías del encargado, incluso a través de auditorías e inspecciones cuando corresponda".

Sin embargo, de la documentación obrante en el expediente se acredita el incumplimiento por Vodafone, como responsable de los tratamientos encomendados, del control efectivo y continuado en el tiempo, de las medidas dispuestas en el citado artículo 28 RGPD transcrito en la resolución sancionadora.

Cabe destacar la obligación prevista en el art. 28.2 del RGPD, en la que se establece que "El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios".

Ello implica que se requerirá autorización previa y por escrito para que el encargado del tratamiento pueda recurrir a otro encargado. Y que dicha autorización puede ser específica (con indicación de la entidad subcontratada) o general. Sólo en este último supuesto, ya existiendo autorización general por parte del responsable del tratamiento, es cuando se ha de informar de cambios en la incorporación o sustitución de otros encargados, respecto de la cual, además, puede oponerse el responsable del tratamiento (por ejemplo, si no reúne las medidas técnicas u organizativas que se fijaron en la autorización general).

De lo anterior, se concluye que la autorización previa siempre es obligatoria, frente a lo alegado por VDF en la página 23 de la demanda que, en todo caso, estaríamos ante un incumplimiento del encargado de tratamiento, no de Vodafone.

Ahora bien, no consta autorización previa y por escrito de VDF, toda vez que, como manifestó TQF en vía administrativa, solo se informa a Vodafone del subencargado en el momento en el que se le solicita su acceso a la plataforma de contratación de Vodafone. Es decir, VDF, como responsable del tratamiento desconoce con antelación a quién y en qué condiciones se contrata a un encargado/subencargado, para actuar por su cuenta y nombre y acepta sin reparos esta conducta de forma continuada y reiterada, al menos desde abril de 2018.

Por tanto, de nada vale que se recoja en los contratos suscritos con Casmar y TQF la necesidad de dicha autorización, si luego no se materializa la autorización previa a la subcontratación de encargados de tratamiento.

Aduce también la actora que Vodafone no se ha limitado a incluir una obligación contractual genérica por la que se trasladan las instrucciones a los subencargados del tratamiento por cuenta de VDF para que se realicen las acciones de mercadotecnia en los términos indicados por VD, sino minuciosa en el apartado 6 "Uso de Subencargado de tratamientos" de los contratos suscritos entre VDF y Casmar y TQF, y que impone a las Entidades Colaboradoras determinadas obligaciones en sus tratamientos (medidas técnicas y organizativas).

Respecto a las alegaciones relativas a la debida cumplimentación de los contratos, no sólo con los encargados del tratamiento, sino también con los subencargados, con independencia de que no contienen idénticas cláusulas entre sí y, por tanto, idénticas garantías, en contra de lo dispuesto en el artículo 28 del RGPD, se ha de subrayar, en relación con las medidas técnicas y organizativas, que no estamos ante un requisito meramente formal, sino material.

En este sentido, y en línea con lo expuesto más arriba, como señala la STS de 15 de febrero 2022 (Rec. 7359/2020) "No basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso",lo que no implica que se exija una obligación de resultado.

Sostiene la demandante que mantenía una actitud diligente, ya con carácter previo al inicio de este procedimiento, remitiendo recordatorios periódicos a sus colaboradores con el fin de recordándoles el cumplimiento de sus obligaciones y dándoles instrucciones para el adecuado cumplimiento de la normativa aplicable.

Sin embargo, el correo de 19 de noviembre de 2018, así como el posterior de 30 de julio 2019, con el mismo contenido, toda vez que continuaron las reclamaciones con posterioridad a dicha fecha, e incluso siguieron produciéndose más allá, hasta enero de 2020, en los que no se indicaba que los encargados informaran a los subencargados, deben considerarse insuficientes en el marco de la responsabilidad proactiva.

Vodafone, como responsable del tratamiento, tiene la obligación de controlar el tratamiento de sus colaboradores, implantando todo tipo de sistemas y medidas de seguridad y monitoreo que verifiquen el cumplimiento de sus instrucciones y el cumplimiento de la normativa de protección de datos, y en virtud del principio de re sponsabilidad proactiva (artículo 5.2 RGPD) ser capaz de demostrarlo, lo que no efectuó pues la problemática seguía produciéndose, sin solución de continuidad.

En relación con las auditorias, esgrime Vodafone en la página 18 de su demanda, que en sus contratos de encargado de tratamiento "prevé una extensa cláusula de auditoría (que ha sido elaborada más allá del contenido "estandarizado" del artículo 28.3 h) del RGPD) , que permite a Vodafone realizar un control de las Entidades Colaboradoras y, en caso de haberse notificado el uso de subencargados, de los propios subencargados.

Ahora bien, de nada sirve una cláusula en el contrato de encargado del tratamiento, sobre auditorías, si lo previsto en el misma no es ejecutado, de hecho, en la demanda no se alega que se hayan realizado auditorías a las Entidades Colaboradoras Casmar y TQF. Es más, y como se ha expuesto más arriba, los encargados del tratamiento tan sólo comunican a VDF los subencargados cuando estos tienen que acceder a la plataforma de esta para subir los datos que ya han previamente recogido (tratado) de los interesados. Es decir, Vodafone no solo no ejerce las obligaciones de control que establece el RGPD sobre los responsables respecto de los encargados, sino que estos han tratado previamente datos personales de los interesados sin conocimiento alguno del responsable (VDF).

Finalmente, sobre la invocada exoneración del responsable del tratamiento, cave traer a colación la STS 772/2020, de 15 de junio de 2020 (Rec. 601/2019), citada de forma errónea en la página 88 de la resolución sancionadora como STS 1562/2020. Dicha STS 772/2020, que, frente a lo alegado en la demanda no se refiere a un encargado de tratamiento, tiene por objeto una Sentencia de esta Sala, que, como señala el Alto Tribunal, "aborda la cuestión de si la responsabilidad por el impedimento o la obstaculización del ejercicio del derecho de oposición al tratamiento de datos debe imputarse a (...) o a las terceras entidades con las que contrató la campaña de publicidad y el envío de correos electrónicos".

En dicho caso, al igual que ahora aquí Vodafone, entendía "que no se le puede hacer extensible el derecho de oposición a tratamientos que son realizados por terceras entidades que tienen como objeto social, precisamente el envío de emails de marketing y que, consecuentemente, como responsables de los mismos, deben adoptar las medidas oportunas para garantizar que los envíos se hacen de forma correcta, tanto disponiendo del consentimiento necesario como revisando, asimismo, los ficheros comunes de exclusión del envío de comunicaciones comerciales o Lista Robinson. Argumentación que exige poner de manifiesto la consolidada doctrina de esta Sala que, de conformidad con las previsiones legales, tanto de la LOPD como del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, distingue entre las figuras de responsable del tratamiento y de encargado del tratamiento. En la actualidad, el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (por el que se deroga la Directiva 95/46/CE , y de aplicación directa a partir del 25 de mayo de 2018) distingue asimismo entre las figuras del responsable y del encargado del tratamiento.

La primera se define en el apartado 7) del artículo 4 como " persona física o jurídica (...) que determine los fines y medios del tratamiento". Y el encargado de tratamiento en el apartado 8) del mismo artículo 4 como aquel que "trate datos personales por cuenta del responsable del tratamiento"

Ello en relación con los Artículos 24 y 28 del mismo Reglamento Europeo de Protección de Datos . Responsable y encargado del tratamiento de datos que, sin lugar a dudas, resultan asimismo responsables de las infracciones en materia de protección de datos, en tal nuevo marco normativo, de conformidad con lo previsto en el artículo 82.2 del repetido Reglamento (UE) 2016/679 a cuyo tenor: Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

Se desprende de todo lo anterior que la concurrencia, en el presente supuesto, de un encargado del tratamiento (...) en absoluto exime de responsabilidad a la entidad (....) ahora recurrente, y ello a pesar de la contundencia de las cláusulas que figuran en el contrato y anexo al mismo firmados por ambas compañías (hechos probados 9 y 10) en cuanto los datos personales tratados lo fueron con la finalidad de llevar a cabo una campaña publicitaria respecto de seguros de coche y moto que comercializaba (...), en definitiva en beneficio de dicha (...), siendo tal entidad actora la que, en último término, determina los fines y medios del repetido tratamiento de datos, por lo que la misma no puede ser exonerada de responsabilidad".

Y respecto a la posible exoneración alegada en cuanto a lo suscrito en el contrato de encargado de tratamiento, señala el Tribunal Supremo lo siguiente:

"La conducta sancionada de obstaculización o impedimento por (...) del ejercicio por su cliente del derecho de oposición al tratamiento de sus datos, se manifiesta en que dicha sociedad no adoptó ninguna clase de medida o de cautela para evitar el envío de publicidad a las direcciones de correo electrónico de su cliente por parte de aquellas empresas a las que encomendó la realización de las campañas publicitarias.

La adopción de las medidas o cautelas necesarias para asegurar la efectividad del derecho de oposición al tratamiento de sus datos por parte de (...), como responsable del fichero, subsisten aunque las campañas publicitarias no se realicen a partir de los datos de sus propios ficheros, sino con bases de datos de otras compañías contratadas por (...), y en este caso quedó acreditado que la recurrente no comunicó a las empresas con las que contrató la realización de servicios de publicidad la oposición del denunciante a recibir publicidad de (...), ni en definitiva adoptó previsión alguna para asegurar la exclusión de su cliente de los envíos publicitarios contratados con terceras entidades".

Por tanto, a tenor de todo lo expuesto, queda acreditada la infracción del artículo 28 en relación con el artículo 24 del RGPD, infracción tipificada en el artículo 83.4.a) del RGPD.

SEXTO.-Cuestiona la actora, como tercer motivo de impugnación, la existencia de una transferencia internacional de datos.

Aduce, en primer lugar, que el acuerdo de inicio no contiene referencia ni en los hechos ni en la calificación jurídica a la existencia de una posible transferencia internacional de datos, no siendo hasta la propuesta de resolución cuando se produce una imputación formal de dicha infracción del artículo 44 del RGP.

Alegación que debe rechazarse puesto que el artículo 64.2.b) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Publicas, que regula el acuerdo de inicio, contempla dicha posibilidad al indicar de forma expresa "... sin perjuicio de lo que resulte de la instrucción".Precepto que se complementa con lo dispuesto en el artículo 89.3 de dicha norma cuando señala que "En la propuesta de resolución se fijarán de forma motivada los hechos que se consideren probados y su exacta calificación jurídica, se determinará la infracción que, en su caso, aquéllos constituyan, la persona o personas responsables y la sanción que se proponga, la valoración de las pruebas practicadas, en especial aquellas que constituyan los fundamentos básicos de la decisión, así como las medidas provisionales que, en su caso, se hubieran adoptado...".

Téngase en cuenta que sobre la propuesta de resolución, la Sala 3ª del Tribunal Supremo (véase STS de 16 de noviembre de 2021), ha ido construyendo una jurisprudencia consolidada, en la que tras analizar la STC 29/1989, se dice que " "el derecho a ser informado de la acusación, que con la categoría de fundamental se garantiza en el artículo 24.2 de la Constitución , se satisface normalmente en el procedimiento administrativo sancionador a través de la notificación de la propuesta de resolución, pues es en ésta donde se contiene un pronunciamiento preciso acerca de la responsabilidad que se imputa, integrado, cuando menos, por la definición de la conducta infractora que se aprecia, y su subsunción en un concreto tipo infractor, y por la consecuencia punitiva que a aquélla se liga en el caso de que se trata."

Doctrina jurisprudencial qué si bien toma en consideración el Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, ya derogado, resulta de aplicación también en la actualidad con la Ley 39/2015.

Sostiene la actora que no existe prueba de dicha infracción, puesto que las transferencias internacionales de datos requieren de un acto de exportación de datos personales por parte del responsable y el encargado y en este caso no ha habido dicho acto de exportación puesto que los números de teléfono son generados de forma aleatoria en Perú, no habiendo sido transferidos por Casmar.

Al respecto hay que hacer referencia al contrato de fecha 1 de mayo de 2019 suscrito entre VDF y Casmar y al posterior de 27 de junio de 2019, suscrito entre Casmar y A-Nexo.

Pues bien, en el contrato de encargo de tratamiento de 1 de mayo de 2019 que Vodafone, en calidad de responsable del tratamiento, suscribe con Casmar, figura en anexo aparte de fecha 27 de junio de 2019, referenciado al mismo, una relación de 15 entidades jurídicas y personas físicas subcontratadas por Casmar denominada "lista de los subencargados aprobados" (sic), entre las que se encuentra la entidad A-Nexo, en la que consta que la "ubicación actual del tratamiento" se encuentra en Perú, por lo que VDF consiente que Casmar lleve a cabo el tratamiento objeto de encargo desde un tercer país, a través de la entidad subencargada A-Nexo, en nombre y por cuenta de Vodafone, según contrato suscrito entre Casmar y A-Nexo.

Además, según en el contrato suscrito entre Casmar y la subcontratada A-nexo de junio de 2019 figura que las numeraciones de los listados de exclusión son facilitados por Casmar, siendo esos los datos transferidos, a los efectos de indicar a que números llamar, como subraya el Abogado del Estado en la contestación a la demanda.

Aduce la actora que según ha manifestado Casmar en vía administrativa A-Nexo las llamadas se realizan de forma aleatoria, que los datos no se obtienen de ninguna base de datos ni son facilitados por fuentes externas, sino que A-Nexo los genera automáticamente partiendo de una numeración al azar, a diferencia del contrato precedente suscrito el 1 de febrero 2017 entre Casmar y A-Nexo en que se indica que las acciones de telemarketing objeto de dicho contrato serán realizadas por A-Nexo, domiciliada en Lima (Perú) con un fichero con datos de carácter personal proporcionado por Casmar.

Del examen de los contratos de 2017 y 20019 resulta que la cláusula primera es igual en ambos, esto es que A-Nexo procederá a la ejecución del servicio consistente en realizar llamadas telefónicas según el guion facilitado por Casmar, si bien en el contrato de 2017 se dice que las acciones de telemarketing objeto de dicho contrato serán realizadas por A-Nexo con un fichero con datos de carácter personal proporcionado por Casmar, referencia que se suprime en el posterior contrato de 2019.

Y en la página 8 in fine y 9 del contrato de 2019, A-Nexo se obliga a acceder a los datos de carácter personal responsabilidad de Casmar y/o sus proveedores de productos y servicios, cuando sea imprescindible para el buen desarrollo de los servicios para los que ha sido contratado; a no destinar o utilizar los datos de carácter personal responsabilidad de Casmar y/o sus proveedores de productos y servicios, con fin distinto del contratado o de cualquier otra forma que demuestre un incumplimiento de las instrucciones de Casmar y/o sus proveedores de productos y servicios, etc.

Dichas cláusulas son idénticas a las que figuran en el contrato de prestación de servicios suscrito entre Casmar y A-nexo con fecha 1 de febrero 2017, vigente con anterioridad, resultando de aplicación desde el punto de vista de la normativa de protección de datos a las relaciones entre el responsable de tratamiento VDF y el encargado Casmar y sub encargado A-Nexo, el Reglamento UE/2016/679, de 27 de abril de 2016, desde su plena aplicación en mayo de 2018, al tratarse de una norma de efecto directo y carácter imperativo.

Es de reseñar que en la cláusula duodécima del contrato de 2017 se recoge que los recursos humanos que A-Nexo emplee para la realización del contrato, estarán exclusivamente vinculados con la entidad A-Nexo, siendo ésta la responsable del cumplimiento de las obligaciones que la legislación vigente en Perú le imponga como empleadora de dichos trabajadores, lo que evidencia que el tratamiento de dichos datos se efectuaba ya en Perú por A-Nexo.

Y como ya se ha dicho, consta en el contrato suscrito entre Casmar y a A-nexo de junio de 2019 figura que las numeraciones de los listados de exclusión son facilitados por Casmar, siendo esos los datos transferidos a Perú, el tercer país.

No consta acreditado que dispongan de un contrato que contengan las preceptivas cláusulas contractuales tipo de la Decisión de la Comisión de 5 de febrero, de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados de tratamiento establecidos en terceros países, por lo que la infracción del artículo 44 del RGPD, tipificada en el artículo 83.5.c) del RGPD, se ha cometido.

En consecuencia, el responsable de dicha transferencia internacional de datos sin las debidas garantías acordada entre Vodafone y Casmar, a través de la entidad subencargada con sede en Perú, A-Nexo, no es otro que Vodafone al actuar en calidad de responsable del tratamiento objeto de encargo en las citadas condiciones, por lo que VDF es la obligada a imponer y establecer las debidas garantías para que pueda realizarse esa transferencia internacional conforme a los requisitos establecidos en el RGPD, lo que no ha hecho permitiendo tratamientos en ese tercer país sin las garantías legales adecuadas.

SÉPTIMO.-In correcta aplicación de los artículos 38.3 c) y d) de la LSSICE.

El citado artículo 38.3 de la Ley 34/2002, de 11 de julio, tipifica como infracciones graves: "c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

d) El incumplimiento significativo de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios"

Esgrime la actora, que en la medida en que se sanciona por una infracción del artículo 21, solo podría resultar de aplicación la letra c) de dicho precepto, no la d), que se refiere al artículo 22. En cualquier caso, entiende, que tampoco resulta de aplicación el artículo 38.c) LSSICE, pues alude al "envío masivo" de comunicaciones comerciales y 24 reclamaciones, según el Anexo 1 de la resolución sancionadora, en un periodo de casi dos años, no puede conceptuarse de envío masivo de comunicaciones comerciales, con cita de las Sentencias de esta Sala y Sección de 10 de octubre de 2007 y 9 de enero de 2009.

Por lo cual, entiende, no cabría calificar la infracción como grave, sino leve, del artículo 38.4.d) LSSICE, que tipifica como tal infracción leve "d) el envío de comunicaciones comerciales electrónicas por correo electrónico u otro medio equivalente cuando en dichos envíos no se cumplan los requisitos del artículo 21 y no constituyan infracciones graves".

Respecto a dicha infracción, en el hecho probado décimo séptimo de la resolución sancionadora se indica que las comunicaciones comerciales a través de SMS se realizan mediante la generación aleatoria sin discriminación alguna, por lo que se han remitido comunicaciones electrónicas a potenciales clientes sin la concurrencia de los requisitos previstos en el artículo 21 de la LSSI, realizando Vodafone los envíos de SMS.

Se argumenta en la página 102 de la misma resolución, que los tratamientos realizados de envío de comunicaciones electrónicas (SMS, email) a través de los diferentes canales carecen de autorización expresa de los destinatarios. Las comunicaciones realizadas a través de SMS se llevaron a cabo sin ofrecer al destinatario la posibilidad eficaz y comprobada de oponerse al tratamiento. Esta posibilidad no se implantó hasta noviembre de 2018 a través de un enlace a una web exclusiva para tal finalidad, sin que se llegara a hacer efectiva, toda vez que los derechos de oposición no eran atendidos. Además, señala, que consta que se han realizado comunicaciones comerciales en nombre y por cuenta de VDF por medios electrónicos a destinatarios que no las habían autorizado expresamente y que no tenían relación comercial con VDF. Concluyendo, que de las evidencias obtenidas se observa que el procedimiento de VDF para la realización de acciones de mercadotecnia directa a través de comunicaciones comerciales electrónicas a potenciales clientes, no garantiza el cumplimiento del artículo 21 de la LSSICE.

También señala la misma resolución en su página 61, que el artículo 21.1 de la LSSICE exige "solicitud o autorización expresa" para realizar la acción publicitaria, sin perjuicio del cumplimiento de otros requisitos, y tal solicitud o autorización expresa no consta acreditada por VDF que como responsable del tratamiento es la obligada a hacerlo.

Es decir, pone el acento en la vulneración del artículo 21 de la LSSICE, sin especial detenimiento en la infracción del artículo 38.3.d) de la LSSICE, no especificando si aplica el artículo 38.3.c) por envío masivo de comunicaciones comerciales por medios electrónicos o por envió insistente y sistemático a un mismo destinatario, si bien tanto la actora como el Abogado del Estado en la contestación, se refieren al envío masivo.

En ese sentido, señala el defensor de la Administración, que no se trata de que 191 correos/SMS no sea un envío masivo, qué por supuesto que lo es, sino que como resulta de las propias declaraciones de Vodafone, la campaña de marketing y acciones comerciales no se dirigió únicamente a los reclamantes, sino que dicha campaña tiene una envergadura mayor y llegaría a los 200 millones, lo que constituye un envío masivo.

Ahora bien, debemos tener en cuenta que en el hecho probado vigésimo cuarto de la resolución sancionadora se dice "En el anexo de la presente resolución figuran el listado completo y detallado de todas las reclamaciones tenidas en cuenta en la valoración de los hechos imputados en este procedimiento".

Y en la propia resolución sancionadora, página 76, al tratar del incumplimiento del artículo 21 LSSICE se indica, que "Los expedientes relativos al incumplimiento de la LSSICE figuran señalados con el código "C" en la columna del Anexo de la Propuesta de Resolución y que ahora también se adjunta".

Especificando en la página 50, párrafo 19, que: "Consta en el anexo a esta Propuesta que el número de reclamaciones por infracción a la LSSICE ascienden a veinticuatro (24) de las 162 tenidas en cuenta en la presente Resolución."

Por tanto, es al envío de esas 24 comunicaciones comerciales por medios electrónicos, sin cumplimiento de los requisitos del artículo 21 LSSICE, en un periodo de casi dos años, al que hay que estar para determinar si puede conceptuarse de "envío masivo" a efectos del artículo 38.3.d) de la LSSICE, concepto que no se define en el Anexo de la Ley, definiéndose el adjetivo masivo, según el Diccionario de la Real Academia de la siguiente forma: "dícese de lo que se aplica en gran cantidad". Y siguiendo el criterio expuesto en nuestras Sentencias de 10 de octubre de 2007 (Rec. 322/05), que consideró que la remisión de entre 25 y 100 correos electrónicos a lo largo de un mes no podía calificarse de envío masivo, y 9 de enero de 2009 (Rec. 97/2007) que tampoco conceptúo como masivo el envío de 45 correos electrónicos remitidos en un mes, se colige que el envió de dichas 24 comunicaciones comerciales por medios electrónicos no puede tener la conceptuación de masivo, a efectos del tipo del artículo 38.c) de la LSSICE.

Añade la actora, qué de esos 24 casos, 21 ya habrían prescrito, al haber transcurrido el plazo de prescripción de seis meses para las infracciones leves (artículo 45 de la LSSICE) cuando se inicia el procedimiento sancionador el 26 de febrero 2020, lo que debe tomarse en consideración en orden a la sanción a imponer. Prescripción que la Sala no aprecia al no poder tomarse en consideración dichos envíos de forma individual, por estar insertos y formar parte de la misma campaña publicitaria. La SAN de 4 de febrero 2010 (Rec. 188/2009) citada por la actora, con independencia de que no apreció la prescripción, versa sobre un supuesto en que se invocaba la prescripción de la infracción respecto de todos los correos electrónicos, no de parte, como esgrime la actora.

OCTAVO.-In correcta aplicación del artículo 77. 37 de la LGT.

La AEPD sanciona a Vodafone por una infracción del artículo 48.1.b) de la Ley 9/2014, General de Telecomunicaciones, en relación con el artículo 21 del RGPD y artículo 23 de la LOPDGDD, tipificada como grave en el artículo 77.3 LGT.

El artículo 77. 37 de la LGT tipifica como infracción grave "37. La vulneración grave de los derechos de los consumidores y usuarios finales, según lo establecido en el título III de la Ley y su normativa de desarrollo".

Y dentro del Título III de la citada Ley, se encuentra inserto el artículo 48.1.b), que establece: "1. Respecto a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas los usuarios finales de los servicios de comunicaciones electrónicas tendrán los siguientes derechos:(...) b) A oponerse a recibir llamadas no deseadas con fines de comunicación comercial que se efectúen mediante sistemas distintos de los establecidos en la letra anterior y a ser informado de dicho derecho".

Infracción por no respetar el derecho de oposición a recibir llamadas comerciales, que la AEPD aprecia al haberse acreditado que tanto Vodafone, en calidad de responsable del tratamiento, como, los encargados que actuaban por cuenta y nombre de Vodafone, no suprimieron aquellas líneas receptoras que se encontraban previamente incluidas en los sistemas de exclusión publicitaria de sus acciones de mercadotecnia, realizando llamada comerciales a dichas líneas, constando así reflejado en la columna del Anexo adjuntado a la resolución sancionadora con el código "R".

Sin embargo, la actora sostiene que ella no es responsable de dicha infracción, porque las llamadas las realizan las Entidades Colaboradoras, quienes deberían ser consideradas responsables. En este sentido señala que el anexo de la resolución contiene una mera relación de reclamaciones, que no aporta datos concretos de la comprobación realizada por la AEPD para constatar que efectivamente se han producido los dos elementos del tipo: la efectiva denegación del derecho de oposición y la imputación de esa conducta a VDF y no a otros responsables.

Alegato que debe ser desestimado por cuanto de las actuaciones practicadas en el procedimiento resulta acreditada la realización de llamadas a numeraciones "robinson" o habiendo ejercitado el reclamante el derecho de oposición y/o cancelación, ante la propia Vodafone o ante sus encargados de tratamiento, figurando las reclamaciones relacionadas con dicha infracción en el Anexo de la resolución sancionadora. Conducta que supone un manifiesto desprecio a los derechos de los afectados e integra el tipo apreciado.

El hecho de que las llamadas las efectúe el responsable o el encargado del tratamiento en su nombre y por su cuenta, carece de relevancia, al recaer la responsabilidad de dicha infracción en VDF, como responsable del tratamiento, remitiéndonos nuevamente a la STS 772/2020, de 15 de junio de 2020 (Rec. 601/2019).

Por tanto, el motivo no puede prosperar.

NOVENO.-In fracción del principio "non bis in idem"

Aduce la actora que la resolución sancionadora incurre en una infracción del principio "non bis in idem",que se manifiesta de diferentes modos:

-Doble sanción de las relaciones con las Entidades Colaboradoras, por infracción de las obligaciones responsable/encargado y por la transferencia internacional de datos. Señala que los hechos imputados siguen siendo únicos - que determinadas empresas han desarrollado fuera de España actividades de promoción para la contratación de servicios telefónicos con Vodafone- y de esos hechos deriva una doble infracción, sancionándose dos veces por los mismos hechos. Sin embargo, no cabe apreciar vulneración del principio "non bis in idem",al no sancionarse dos veces los mismos hechos, pues se trata de dos conductas diferenciadas, una derivada de la infracción del articulo 28 en relación con el artículo 24 del RGPD y otra, de la vulneración del artículo 44 del RGPD. De tal forma, que puede apreciarse la infracción por vulneración del artículo 28 del RGPD sin necesidad de que concurra transferencia internacional de datos, por eso, cuando dicha transferencia existe, sin respetar los requisitos exigidos por la normativa de protección de datos, como es el caso, se sancionan ambas infracciones.

-Doble sanción de los mismos hechos como infracción del art 24 RGPD y del art 48 LGT. Tampoco se aprecia la vulneración de dicho principio, porque no se están imponiendo sanciones por la misma conducta, sino por conductas distintas, ya que se puede cometer una infracción del artículo 24 del RGPD sin necesidad de infringir el artículo 48 de la LGT y por tanto, cuando además del primero, se infringe también el segundo, resulta lógico y procedente la sanción de ambas conductas.

-Doble sanción por infracción del artículo 48 de la Ley General de Telecomunicaciones, pues la sanción vinculada a la infracción del artículo 48.1.b) de la LGT no ha sido configurada como un procedimiento en relación con las concretas comunicaciones dirigidas a los usuarios en contravención de su derecho de oposición a recibir comunicaciones comerciales, sino como una suerte de sanción general por las comunicaciones realizadas en el marco de las campañas de promoción analizadas por la AEPD durante la inspección.

Alegato que tampoco puede ser tomada en consideración por cuanto en el Anexo a la resolución sancionadora constan debidamente detalladas las reclamaciones tomadas en consideración en relación con dicha infracción.

Achaca también la infracción del principio "non bis in idem",a que a la hora de graduar la sanción se indica por la resolución sancionadora que la entidad ha sido sancionada con multa o apercibimiento desde enero de 2018 a febrero de 2020 en más de 50 ocasiones. Ahora bien, con independencia de que al tratar sobre la graduación de la sanción la propia demandante reconoce que en la mayoría de los casos dichas infracciones no tienen que ver con llamadas comerciales, aunque alguna infracción, hipotéticamente hablando, pudiera haber sido ya sancionada por algún hecho ya tenido en cuenta en este procedimiento, restarían otros que darían lugar a la existencia de la infracción apreciada.

DÉCIMO.-Infracción del artículo 58.2 del RGPD.

La resolución sancionadora impugnada además de sancionar a Vodafone por las cuatro infracciones apreciadas, le ordena que "en el plazo de seis meses a contar desde la notificación de la presente Resolución, acredite ante esta AEPD que ha ajustado a lo dispuesto en el RGPD y LOPDGDD todas las operaciones de tratamiento analizados en el presente procedimiento referidos a los artículos 17, 21, 24, 28 y 44 a 49 del RGPD y 12, 15, 18, 23, 40 a 43 de la LOPDGDD".

El 58, rubricado "Poderes" establece en su apartado 2.d) del RGPD: "2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: (...) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada maneray dentro de un plazo especificado".

Vodafone no pone en duda que la AEPD goza de la potestad para ordenar medidas correctoras al amparo del mentado artículo 58.2 del RGPD, pero considera que dicho artículo se ha infringido pues la resolución impugnada carece de indicación alguna sobre la "determinada manera" en que Vodafone ha de ajustar las operaciones de tratamiento, sin que baste la indicación genérica de todos los preceptos del RGPD y de la LOPGDD que se consideran aplicables, provocándole una situación de indefensión e inseguridad jurídica.

Al respecto hay que señalar que al tratarse de un poder correctivo que se otorga a las autoridades de control, en este caso a la AEPD, le es exigible determinada concreción, y así resulta del tenor del precepto: "de una determinada manera ydentro de un plazo especificado", tratándose de dos requisitos acumulativos al estar unidos por la conjunción "y".

Por tanto, la referencia genérica que se realiza por la resolución recurrida a los artículos 17, 21, 24, 28 y 44 a 49 del RGPD y 12, 15, 18, 23, 40 a 43 de la LOPDGDD, resulta claramente insuficiente a tal fin, y en este sentido es generadora de indefensión y, en consecuencia, debe ser anulado el mandato ordenado en los términos citados.

UNDÉCIMO.-Pr oporcionalidad.

El principio de proporcionalidad de las sanciones, como señalan las SSTS, Sala 3ª, de 3 de diciembre de 2008 (Rec. 6602/2004) y 12 de abril de 2012 (Rec. 5149/2009) es el fundamental que late y preside el proceso de graduación de las sanciones e implica, en términos legales, "su adecuación a la gravedad del hecho constitutivo de la infracción" como dispone el artículo 29.3 de la Ley 40/2015, de Régimen Jurídico del Sector Público. dado que toda sanción debe determinarse en congruencia con la entidad de la infracción cometida y según un criterio de proporcionalidad en relación con las circunstancias del hecho. Principio que como señala la citada STS de 12 de abril de 2012 no puede sustraerse al control jurisdiccional.

Respecto la infracción del artículo 28 del RGPD tipificada en el artículo 83.4.a) del mismo Reglamento, cuya sanción considera desproporcionada la actora, se relacionan en las páginas 99 y 100 de la resolución sancionadora una serie de criterios de graduación que son cuestionados por la actora (páginas 54 y siguientes de la demanda). De ellos resultan justificados debidamente la naturaleza, gravedad y duración de la infracción; la grave negligencia apreciada; el carácter continuado de la infracción; la alta vinculación de la actividad de Vodafone con la realización de tratamiento de datos personales, el elevado número de afectados etc.

En cambio, considera la Sala que no resulta apreciable la circunstancia referente a los beneficios obtenidos como consecuencia de la infracción. El artículo 83.2.k) del RGPD establece que se tendrá especialmente en cuenta: "cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las perdidas evitadas, directa o indirectamente, a través de la infracción"y en el presente caso nada se dice ni se determina de ninguna forma la existencia de ese beneficio financiero directamente vinculado con dichas infracciones.

Tampoco la referente a que VDF no tiene implantados procedimientos adecuados de actuación en la contratación y seguimiento efectivo de los encargados de los tratamientos, de modo que la infracción no es consecuencia de una anomalía puntual en el funcionamiento de dichos procedimientos, ya que ello reitera otros criterios valorativos ya tomados en consideraciòn.

Respecto a la apreciación de la condición de gran empresa de la entidad responsable se trata de un concepto que se anuda por la actora con el volumen de negocio, que es la base del artículo 83 del RGPD y la cifra de negocio se ha tomado ya en cuenta por la resolución recurrida para cuantificar la sanción.

Aduce la actora que concurren otras circunstancia atenuantes que la AEPD no ha tenido en cuenta, como son: el no haber sido sancionada por una infracción del artículo 28 del RGPD, extremo que, como viene reiterando la Sala no puede fundamentar una atenuante; tampoco el hecho de que haya participado en el grupo de trabajo "GT Duplicidad Tarjetas SIM" que nada tiene que ver con la infracción apreciada; ni su sometimiento a mecanismos de resolución alternativas de conflicto, a la vista de la entidad de los hechos apreciados y su prolongación en el tiempo.

En consecuencia, a la vista de las circunstancias finalmente concurrentes se considera ponderado reducir la sanción en cuestión a 3.000.0000 €.

Respecto a la sanción por infracción del artículo 44 del RGPD, esgrime que la resolución no gradúa la sanción por infracción del citado precepto.

Del examen de la resolución sancionadora resulta que en su página 99 dispone "a efectos de fijar el importe de la sanción por infracción del artículo 28 del RGPD a VDF(sin referencia al artículo 44 del RGPD) como responsable de la citada infracción tipificada en el artículo 83.4.a) del RGPD, procede graduar la multa que correspondería imponer como sigue (...)"

Seguidamente se hace referencia a una serie de criterios tenidos en cuenta para graduar la infracción del artículo 28 RGPD y en la página 100 de dicha resolución, sin haber hecho previa referencia al artículo 44 del RGPD, se indica "Considerando los factores expuestos, la valoración inicial que alcanza la cuantía de la multa por la infracción imputada por el art 28 del RGPD es de 4.000.000 € y por la infracción del artículo 44 del RGPD, tipificada en el artículo 83.5.c) del RGPD es de 2.000.000 €".

El artículo 83 del RGPD exige que las multas administrativas se impongan en función de las circunstancias de "cada caso individual", pues las circunstancias a valorar están vinculadas a la concreta infracción.

Sin embargo, en el caso de autos tras detallar los criterios aplicables a la graduación de la sanción por infracción del artículo 28 del RGPD, sin motivación, se aplican para fijar en 2.000.000 € la sanción por infracción del artículo 44 del RGPD, por transferencia internacional de datos, que tiene sus propias peculiaridades, está circunscrita a determinados tratamientos y con un concreto periodo temporal.

En consecuencia, no puede considerarse debidamente motivada la fijación en 2.000.000 € de la sanción por la infracción del citado artículo 44 del RGPD.

En supuestos análogos, la Sala ha venido considerando, con la legislación previa al RGPD, que la sanción debía reducirse al mínimo previsto para la infracción en cuestión. Ahora bien, como en el RGPD no se fijan sanciones mínimas, sino máximas, siguiendo el criterio expuesto adaptado a la nueva normativa, se considera que en el presente caso la sanción impuesta por transferencia internacional de datos debe reducirse a 50.000 €.

Sobre la infracción por vulneración del artículo 21 de la LSSICE, ya hemos expuesto en el Fundamento de Derecho séptimo, que debe calificarse de leve, del artículo 38.4.d) LSSICE, por lo que procede reducir la sanción impuesta, en este caso, a 30.000 €, la máxima asignada a las infracciones leves en el artículo 39.1.c) de dicha Ley, teniendo en cuenta para fijarla en dicho máximo, el número de comunicaciones comerciales por medios electrónicos enviadas (24).

Finalmente, también considera la actora desproporcionada la sanción impuesta por vulneración del artículo 48.1.b) de la LGT.

Cuestiona la aplicación de la circunstancia a) del artículo 80.1 de la LGT de 2014, "la gravedad de las infracciones cometidas anteriormente". Señala a tal fin, que las más de 50 sanciones referidas por la AEPD hacen alusión a sanciones impuestas por muy diversos motivos que no tienen que ver en la mayoría de los casos con llamadas comerciales. Añade, que tras revisar los procedimientos sancionadores registrados por VDF de febrero de 2019 a febrero de 2020, en sólo uno de los 38 casos registrados se sancionó a VDF por infracción de la LGT y tras consultar la página web de la AEPD para el periodo comprendido entre enero de 2018 y enero de 2019, se han encontrado cuatro resoluciones en las que se sancionó a VDF por infringir la LGT, por lo que en el periodo entre enero 2018 y febrero de 2020 solo hay cinco sanciones por la LGT y no sería de aplicación dicha agravante.

Ahora bien, como señala el Abogado del Estado en la contestación a la demanda, dicho artículo 80.1.a) de la LGT no hace referencia al número de infracciones cometidas con anterioridad sino a su gravedad y el PS/00290/2018 que la parte reconoce se resolvió en dicho periodo es un procedimiento que se inicia por idénticos hechos a los ahora examinados, procediendo rechazar la alegación formulada.

También se pone en tela de juicio la aplicación de la circunstancia b) del artículo 80.1 de la LGT, esto es "La repercusión social de las infracciones", esgrimiendo que solo puede aplicarse respecto de las acciones de mercadotecnia a las que resulte de aplicación la LGT y no a la totalidad de las 162 reclamaciones que figuran en el Anexo a la resolución sancionadora, criterio que se comparte, sin que quede acreditada la aplicación de la citada circunstancia. Al igual que tampoco se considera acreditada la circunstancia c) del artículo 80.1 LGT "el beneficio que haya reportado al infractor el hecho de la infracción", por cuanto la resolución alude a la evolución de VDF en el último ejercicio, pero no acredita el beneficio aparejado a las concretas campañas a las que se imputa la infracción.

En cambio, si se aprecia la concurrencia del resto de los factores que se desgranan en la resolución recurrida y que constan debidamente motivados y acreditados.

Por todo ello, en atención de las circunstancias finalmente concurrentes se considera ponderado reducir la sanción a 1.500.0000 €.

Todo lo cual supone la estimación parcial del recurso interpuesto.

DUODÉCIMO.-De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional, la estimación parcial del recurso no conlleva imposición de costas.

Vistos los artículos citados y demás de pertinente y general aplicación.