Resolución de la Agencia Española de Protección de Datos A-00092-2017 de 26 de julio de 2017

Cuestión

1 / 9

Procedimiento Nº: A/00092/2017

RESOLUCIÓN: R/01701/2017

En los procedimientos A/00092/2017 y A/00145/2017, instruidos por la Agencia

Española de Protección de Datos a la entidad CANARIAN LEGAL ALLIANCE, S.L.,

vistas las denuncias presentadas y en virtud de...

Contestacion

1/9

Procedimiento Nº: A/00092/2017

RESOLUCIÓN: R/01701/2017

En los procedimientos A/00092/2017 y A/00145/2017, instruidos por la Agencia

Española de Protección de Datos a la entidad CANARIAN LEGAL ALLIANCE, S.L.,

vistas las denuncias presentadas y en virtud de los siguientes,

ANTECEDENTES

PRIMERO: Con fecha de entrada de 25/10/2016 y 4/11/2016, tiene entrada en esta

Agencia varios escritos en los que los denunciantes manifiestan tener suscritos

contratos con ANFI SALES, de compra de semanas vacaciones en régimen de tiempo

compartido en complejos situados en la Isla de Gran Canaria.

La empresa CANARIAS LEGAL ALLIANCE S.L., cuya actividad es la prestación de

servicios legales y jurídicos, realiza campañas de captación telefónica y a través de

correo electrónico a clientes de ANFI SALES. Las campañas publicitarias las realiza o

bien directamente o a través de la empresa CLA MARKETING S.L.

Los denunciantes han recibido correos electrónicos con información comercial de

CANARIAS LEGAL ALLIANCE S.L., algunos remitidos directamente y otros remitidos a

través de la empresa CLA MARKETING S.L.

Y, entre otra, anexan copia de los siguientes correos electrónicos:

? De fecha 6 de enero de 2016, remitido desde la dirección ***EMAIL.1.com a la

dirección ***EMAIL.2, el correo va dirigido a A.A.A..

? De fecha 20 de septiembre de 2016, remitido desde la dirección ***EMAIL.3.com

a la dirección ***EMAIL.4, el correo va dirigido a Mr. & Mrs. B.B.B..

? De fecha 5 de octubre de 2016, remitido desde la dirección ***EMAIL.5 a la

dirección ***EMAIL.6, el correo va dirigido a Estimado Sr /Señora, según manifiestan

este correo fue recibido por C.C.C..

? De fecha 24 de agosto de 2016, remitido desde la dirección ***EMAIL.7 a la

dirección ***EMAIL.8, el correo va dirigido a D.D.D..

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

2/9

? De fecha 9 de septiembre de 2016, remitido desde la dirección ***EMAIL.9 a la

dirección ***EMAIL.10 el correo va dirigido a E.E.E..

? De fecha 5 de octubre de 2016, remitido desde la dirección ?***EMAIL.11? a la

dirección ***EMAIL.12 el correo va dirigido a F.F.F..

? De fecha 29 de septiembre de 2016, remitido desde la dirección ***EMAIL.5 a la

dirección ***EMAIL.13, el correo va dirigido Sr /Señora. Según manifiestan el correo fue

recibido por G.G.G..

? De fecha 18 de octubre de 2016, remitido desde ?***EMAIL.14? a la dirección

***EMAIL.15 , el correo va dirigido a Sr /Sra. Según manifiestan el correo fue recibido

por H.H.H..

En todos los correos aportados se hace referencia a la condición de propietarios de

vacaciones en tiempo compartido y todos están firmados por CANARIAN LEGAL

ALLIANCE.

SEGUNDO: Con fecha 14/03/2017 tiene entrada en esta Agencia una denuncia

presentada por ANFI SALES, S.L. en representación de un colectivo de personas

afectadas, en el que pone de manifiesto, en síntesis, lo siguiente:

ANFI SALES, comercializa bienes inmuebles y paquetes turísticos en régimen de

aprovechamiento por turno de acuerdo con la normativa vigente.

Los denunciantes tienen suscritos contratos con ANFI SALES, de compra de semanas

vacaciones en régimen de tiempo compartido en complejos situados en la Isla de Gran

Canaria.

La empresa CANARIAS LEGAL ALLIANCE S.L., cuya actividad es la prestación de

servicios legales y jurídicos, realiza campañas de captación telefónica y a través de

correo electrónico y postal, a clientes de ANFI SALES. Éstos niegan cualquier relación

con CANARIAN LEGAL ALLIANCE, S.L., ni contacto alguno ni si quiera en el plano de

potenciales clientes.

ANFI SALES llevo investigación interna al objeto de verificar el cumplimiento de medidas

de seguridad respecto de los datos personales de sus clientes, sin que se hayan

detectado vulnerabilidades.

Los denunciantes consideran que sus derechos han sido vulnerados por CANARIAN

LEGAL ALLIANCE S.L., y CLA MARKETING S.L. que en ocasiones también remite las

citadas comunicaciones.

Asimismo manifiestan que puestos en contacto con las citadas empresas no explican el

origen de los datos de los que se deduce que disponen

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

3/9

Y, entre otra, anexan copia de los siguientes correos electrónicos y postales que

promocionan los servicios de CANARIAN LEGAL ALLIANCE:

1) Correo postal dirigido a I.I.I.enviada en fecha de 7/09/2016 firmado por CLA

MARKETING, S.L.

2) Correos postales dirigidos a J.J.J. enviados por CANARIAN LEGAL

ALLIANCE en fechas 12 y 14 de abril de 2016.

3) Correo electrónico dirigido a K.K.K.enviado en fecha de 30/11/2016 por

***EMAIL.16

4) Correo electrónico dirigido a L.L.L. enviado en fecha de 06/10/2016 por

***EMAIL.17

5) Correo electrónico dirigido a M.M.M. enviado en fecha de 21/10/2016 por

***EMAIL.18

6) Correo electrónico dirigido a ***EMAIL.19 enviado en fecha de 23/11/2016

por ...@canarianlegalalliance.com

7) Correo electrónico dirigido a N.N.N. enviado en fecha de 23/08/2016 por

***EMAIL.20

8) Correo electrónico dirigido a CRHISTIAN VAN HOOREWEGHE enviado en

fecha de 16/11/2016 por ***EMAIL.5

9) Correo electrónico dirigido a O.O.O. enviado en fecha de 26/10/2016 por

***EMAIL.5

10)Correos electrónicos dirigidos a Q.Q.Q.enviado en fechas de 27/10/2016,

03/11/2016 y 08/11/2016 por ***EMAIL.21

SEGUNDO: Del examen de la documentación presentada por los denunciantes y de las

actuaciones practicadas en se desprende lo siguiente:

Del examen de la documentación presentada por los denunciantes y de las

actuaciones practicadas a la vista de los hechos denunciados se desprende lo

siguiente:

Con fecha 1 de marzo de 2017, CANARIAN LEGAL ALLIANCE S.L. ha remitido la

siguiente información en relación con los hechos denunciados:

La empresa tiene como actividad principal la de actuar como intermediario entre las

personas descontentas con los productos de aprovechamiento por turnos adquiridos en

España y los Juzgados y Tribunales Españoles.

Respecto a la forma de contactar con sus posibles clientes, según manifiestan se realiza

a través de diferentes medios:

I.Las páginas web de las empresas.

II.Las redes sociales.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

4/9

III.Publicidad en Prensa.

IV.Información que obtienen sus agentes con los que firman contratos de agencia.

Aportan copia de dos de los contratos suscritos (redactados en Ingles) y donde se

incluye una cláusula sobre protección de datos.

1. Respecto al origen de los datos de los posibles clientes:

Aunque en los contratos suscritos con sus agentes, consta que están obligados a

obtener el consentimiento de los posibles clientes antes de contactar con ellos, según

manifiestan no pueden fiscalizar el cumplimiento de este requisito.

No pueden asegurar, por tanto, el origen de los datos de los denunciantes, que se han

utilizado para remitirles publicidad mediante correos electrónicos. Teniendo en cuenta,

además, la breve duración de los contratos con sus agentes, generalmente extranjeros

que residen en España durante un periodo corto de tiempo y la dificultad para contactar

con ellos para solicitarles información.

2. Confirman el envío de los correos electrónicos aportados por los denunciantes,

indicando que solo de uno de ellos han obtenido respuesta, y fue para oponerse

a recibir más correos, dichos datos han sido bloqueados de su base de datos y

ha sido eliminado de su plataforma de contacto.

3. Respecto a la relación de CANARIAN LEGAL ALLIANCE, S.L., con CLA

MARKETING S.L.

Aportan copia del contrato de Agencia, suscrito entre ambas empresas, de fecha 1 de

enero de 2015, (redactado en Inglés) que incluye una cláusula de Protección de Datos

acorde con la legislación Española. Así mismo, en el contrato se especifica que los

potenciales clientes deben ser captados utilizando legítimos métodos de marketing, vía

anuncios en redes sociales y otras campañas comerciales de promoción.

TERCERO: En fecha de 24/03/2017, ( y en relación con los hechos denunciados

mediante escrito de fecha de entrada 4/11/2016) la Directora de la Agencia Española de

Protección de Datos acordó someter a trámite de audiencia previa el presente

procedimiento de apercibimiento A/00092/2017 a CANARIAN LEGAL ALLIANCE,

S.L., con arreglo a lo dispuesto en el artículo 45.6 de la LOPD, con relación a la

denuncia por infracción de su artículo 6, tipificada como grave en el artículo 44.2 b) de la

LOPD, con arreglo a lo dispuesto en el artículo 39 bis 2 de la LSSI, con relación a la

denuncia por infracción de su artículo 21 de la LSSI, tipificada como leve en el artículo

38.4.d) de dicha norma.

CUARTO: En fecha de 10/05/2017, ( y en relación con los hechos denunciados

mediante escrito de fecha de entrada 14/03/2017) la Directora de la Agencia Española

de Protección de Datos acordó someter a trámite de audiencia previa el presente

procedimiento de apercibimiento A/00145/2017 a CANARIAN LEGAL ALLIANCE,

S.L., con arreglo a lo dispuesto en el artículo 45.6 de la LOPD, con relación a la

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

5/9

denuncia por infracción de su artículo 6, tipificada como grave en el artículo 44.2 b) de la

LOPD, con arreglo a lo dispuesto en el artículo 39 bis 2 de la LSSI, con relación a la

denuncia por infracción de su artículo 21 de la LSSI, tipificada como leve en el artículo

38.4.d) de dicha norma.

CINCO: En fecha de 29/05/2017 la Directora de la Agencia Española de Protección de

Datos acordó la acumulación de los Procedimientos A/00099/2017 y A/00145/2017 de

conformidad con lo previsto en el artículo 57 de la Ley 39/2015, de 1 de octubre, del

Procedimiento Administrativo Común de las Administraciones Públicas, (LPACAP en lo

sucesivo).

SEIS: En fechas de 19/04/2017 y 06/06/2017, tienen entrada en esta Agencia, sendos

escritos de CANARIAN LEGAL ALLIANCE, S.L., en el que pone de manifiesto que

asume las deficiencias de prueba respecto de la obtención licita del consentimiento de

los afectados y acepta sin reparos el apercibimiento de la AEPD que pueda hacerse.

Asimismo manifiestan que están implementando medidas tendentes a obtener el

consentimiento para tratar datos de los afectados.

HECHOS PROBADOS

UNO.- Entre las fechas de 6/01/2016 y 16/11/2016 CANARIAN LEGAL ALLIANCE, S.L.,

realizo acciones de marketing postal y electrónico a través del envío de cartas y

comunicaciones comerciales electrónicas a los denunciantes en las que trató sus datos

personales y direcciones de correo electrónico, promocionando sus servicios.

DOS.- Los denunciantes negaron la prestación del consentimiento para el envió de las

comunicaciones postales y electrónicas.

TRES.- A requerimiento de los Servicios de Inspección de la Agencia Española de

Protección de Datos, los representantes de CANARIAN LEGAL ALLIANCE manifestaron

que la recogida de datos corresponde a diversos agentes y que no pueden fiscalizar el

requisito de obtención del consentimiento.

FUNDAMENTOS DE DERECHO

I

De conformidad con lo establecido en los artículos 36 y 37.a), f) y n) de la Ley

Orgánica 15/1999, de 13 de diciembre, de Protección de Datos Personales (en lo

sucesivo LOPD) , y el artículo 43.1 párrafo segundo de la Ley 34/2002, de 11 de julio, de

Servicios de la Sociedad de la Información y Comercio Electrónico (en lo sucesivo LSSI)

la competencia para resolver el presente Procedimiento de Apercibimiento corresponde

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

6/9

a la Directora de la Agencia Española de Protección de Datos.

II

En el presente caso se imputa a CANARIAN LEGAL ALLIANCE, la comisión de

la infracción del art. 6.1 de la LOPD, que señala que El tratamiento de los datos de

carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley

disponga otra cosa y la comisión de la infracción del art. 21 de la LSSI, que dispone: ?1.

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo

electrónico u otro medio de comunicación electrónica equivalente que previamente no

hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las

mismas. 2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista

una relación contractual previa, siempre que el prestador hubiera obtenido de forma

lícita los datos de contacto del destinatario y los empleara para el envío de

comunicaciones comerciales referentes a productos o servicios de su propia empresa

que sean similares a los que inicialmente fueron objeto de contratación con el cliente.. ?

Ha resultado probado que la entidad denunciada ha tratado datos de carácter

personal de los denunciantes, para la realización de los envíos publicitarios por medios

postales, sin poder acreditar que tenía su consentimiento o que concurría alguna causa

que permita su dispensa.

Asimismo, en cuanto a los envíos de correos electrónicos comerciales, ha

resultado probado que no disponía de la autorización previa y expresa de los

destinatarios y que tampoco concurría alguna causa que permita su dispensa.

III

La conducta llevada a cabo por la entidad denunciada, en relación con la

utilización de los datos personales de los denunciantes para el envío de publicidad

postal, que supone un tratamiento de datos, se encuentra tipificada como infracción

grave en el artículo 44.3 b) de la LOPD, que considera como tal ?Tratar datos de

carácter personal sin recabar el consentimiento de las personas afectadas, cuando el

mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de

desarrollo.?

Asimismo, el artículo 45.6 de la LOPD, dispone lo siguiente: ?Excepcionalmente

el órgano sancionador podrá, previa audiencia de los interesados y atendida la

naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en

el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su

lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador

determine, acredite la adopción de las medidas correctoras que en cada caso resultasen

pertinentes, siempre que concurran los siguientes presupuestos:

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

7/9

a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo

dispuesto en esta Ley.

b) que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador

hubiera determinado procederá la apertura del correspondiente procedimiento

sancionador por dicho incumplimiento?.

En el presente supuesto se cumplen los requisitos recogidos en las letras a) y

b) del citado apartado 6 del artículo 45 de la LOPD.

En cuanto a las medidas correctoras que indica el art. 45.6 LOPD debe

indicarse que, en el presente caso, la entidad denunciada deberá cancelar los datos de

carácter personal de los denunciantes a fin de evitar que sean tratados en sus ficheros

sin su consentimiento.

IV

La conducta llevada a cabo por la entidad denunciada, en relación con el envío

de comunicaciones comerciales por medios electrónicos a los denunciantes sin su

autorización previa y expresa, se encuentra tipificada como infracción leve en el artículo

38.4.d) de dicha norma, que califica como tal ?El envío de comunicaciones comerciales

por correo electrónico u otro medio de comunicación electrónica equivalente cuando en

dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya

infracción grave.?

Asimismo, el artículo 39 bis apartado 2 de la LSSI, bajo el epígrafe ?Moderación

de las sanciones?, estipula lo siguiente: 2. Los órganos con competencia sancionadora,

atendida la naturaleza de los hechos y la concurrencia significativa de los criterios

establecidos en el apartado anterior, podrán acordar no iniciar la apertura del

procedimiento sancionador y, en su lugar, apercibir al sujeto responsable, a fin de que

en el plazo que el órgano sancionador determine, acredite la adopción de las medidas

correctoras que, en cada caso, resulten pertinentes, siempre que concurran los

siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo

dispuesto en esta Ley.

b) Que el órgano competente no hubiese sancionado o apercibido con

anterioridad al infractor como consecuencia de la comisión de infracciones previstas en

esta Ley.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador

hubiera determinado, procederá la apertura del correspondiente procedimiento

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

8/9

sancionador por dicho incumplimiento.?

En el presente supuesto se cumplen los requisitos recogidos en las letras a) y

b) del citado apartado 2 del artículo 39 bis.

En cuanto a las medidas correctoras que indica el art. 39 bis apartado 2, debe

indicarse que, la entidad denunciada deberá eliminar las direcciones de correo de los

denunciantes a fin de evitar que sean utilizadas para el envío de comunicaciones

comerciales sin su autorización previa y expresa.

V

Los artículos antes citados, advierten de que las medidas requeridas

deberán adoptarse por el denunciado y comunicarlas, con la advertencia que de no

hacerlo procederá la apertura del correspondiente procedimiento sancionador por dicho

incumplimiento.

Por lo tanto, de acuerdo con lo señalado,

Por la Directora de la Agencia Española de Protección de Datos,

SE ACUERDA:

SE ACUERDA:

PRIMERO.- APERCIBIR (A/00092/2016) a CANARIAN LEGAL ALLIANCE, S.L., con

arreglo a lo dispuesto en el artículo 39 bis.2 de la Ley 34/2002, de 11 de julio, de

Servicios de la Sociedad de la Información y de Comercio Electrónico, en relación con la

infracción del artículo 21 de la citada norma, tipificada como leve en su artículo 38.4.d).

SEGUNDO.- APERCIBIR (A/00092/2016) a CANARIAN LEGAL ALLIANCE, S.L., con

arreglo a lo dispuesto en el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal, con relación a la denuncia por

infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 b) de la

citada Ley Orgánica.

TERCERO.- REQUERIR a CANARIAN LEGAL ALLIANCE, S.L., de acuerdo con lo

establecido en los artículos 39 bis 2 de la LSSI y 45.6 de la LOPD, para que en el plazo

de UN MES desde la notificación de la presente resolución.

3.1 CUMPLA lo previsto en el artículo 21 de la LSSI y 6 de la LOPD, para lo

que se insta a dicha entidad a cancelar los datos personales y a eliminar las direcciones

de correo de los denunciantes tal como se señala en los Fundamentos de Derecho III y

IV de la presente Resolución.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

9/9

3.2 INFORME a la Agencia Española de Protección de Datos del cumplimiento

de lo requerido, aportando los documentos u otros medios de prueba en los que se

ponga de manifiesto su cumplimiento.

CUARTO.- NOTIFICAR el presente Acuerdo a CANARIAN LEGAL ALLIANCE, S.L.,

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la

redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas

fiscales, administrativas y del orden social, la presente Resolución se hará pública, una

vez haya sido notificada a los interesados. La publicación se realizará conforme a lo

previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de

Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto

en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto

1720/2007, de 21 diciembre.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y

de conformidad con lo establecido en los artículos 112 y 123 de la Ley 39/2015, de 1 de

octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los

interesados podrán interponer, potestativamente, recurso de reposición ante la Directora

de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el

día siguiente a la notificación de esta resolución, o, directamente recurso contencioso

administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,

con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional

cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-

Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación

de esta acto, según lo previsto en el artículo 46.1 del referido texto legal.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es