Resolución de la Agencia Española de Protección de Datos A-00174-2018 de 30 de julio de 2018
Resoluciones
Resolución de la Agencia ...io de 2018

Última revisión

Resolución de la Agencia Española de Protección de Datos A-00174-2018 de 30 de julio de 2018

Tiempo de lectura: 19 min

Relacionados:

Órgano: Agencia Española de Protección de Datos

Fecha: 30/07/2018

Num. Resolución: A-00174-2018

Tiempo de lectura: 19 min


Cuestión

Sector:

1 / 9

Procedimiento Nº: A/00174/2018

RESOLUCIÓN: R/01349/2018

En el procedimiento A/00174/2018, instruido por la Agencia Española de

Protección de Datos a la entidad PETRONET ESPAÑA, S.A ., vista la denuncia

presentada por Don A.A.A., y en virtud de los...

Contestacion

1/9

Procedimiento Nº: A/00174/2018

RESOLUCIÓN: R/01349/2018

En el procedimiento A/00174/2018, instruido por la Agencia Española de

Protección de Datos a la entidad PETRONET ESPAÑA, S.A., vista la denuncia

presentada por Don A.A.A., y en virtud de los siguientes

ANTECEDENTES

PRIMERO: Con fecha 4 de diciembre de 2017, tiene entrada en esta Agencia una

denuncia presentada por Don A.A.A. (en lo sucesivo, el denunciante), en la que

manifiesta que en verano de 2017 se inscribió en un sorteo que realizaba ?El Elefante

Azul?.

En fecha 19 de julio de 2017 solicitó a la entidad Petronet España, S.A., organizadora

del sorteo, la cancelación de sus datos. Según indica recibió respuesta de la entidad,

pero no la aporta junto con su reclamación.

A pesar de lo anterior sus datos figuran en www.sortea2.com como participante del

sorteo.

SEGUNDO: Tras la recepción de la denuncia la Subdirección General de Inspección

de Datos procedió a la realización de actuaciones previas de investigación para el

esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes

extremos:

Con fecha 12 de diciembre de 2017 se ha acreditado que figura un listado de

los participantes en un sorteo, publicado en la página web www.sortea2.com.

Según indican los representantes de Petronet se recibió por parte del

denunciante solicitud de cancelación de datos personales el pasado 19 de julio de

2017 y se procedió a contestar por escrito el pasado 1 de agosto de 2017.

En relación a los datos que figuran en sus ficheros relativos al denunciante, los

responsables de la entidad manifiestan que tras la solicitud de cancelación recibida el

19 de julio de 2017, se procedió a borrar todos sus datos por lo que en la actualidad

PETRONET ESPAÑA, S.A., no tiene datos personales suyos en sus sistemas de

información.

Los datos del reclamante se han cedido a AUTONET24 S.L. como se indica en

las bases de la promoción ?aparca el coche y embárcate? aceptadas por todos los

participantes del sorteo organizado por PETRONET ESPAÑA, S.A.

Los datos se comunicaron a la mercantil AUTONET 24, S.L., por ser una

sociedad del grupo englobado por nuestra marca ?Elefante Azul? así como a la

plataforma Sortea2 como herramienta objetiva para realizar el sorteo de forma

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

2/9

independiente.

Según manifiestan los representantes de Petronet, los datos de los

participantes se comunicaron a la plataforma Sortea2, esta entidad no debía

almacenar dato alguno, es decir, se realiza el sorteo y los datos se eliminan, no

obstante en las condiciones legales de dicha página web, aportada en su escrito de

respuesta consta que

?Es responsabilidad de los usuarios el no publicar datos personales de los participantes,

de acuerdo a la Legislación sobre Protección de Datos de carácter personal.

Desde Sortea2 hemos habilitado formularios para la retirada automática de cualquiera de

estos datos y los eliminamos de inmediato cuando recibimos consultas al respecto. Pero

la responsabilidad final recae sobre los usuarios de la página que los hayan publicado.

Esto en especial para los sorteos certificados y sorteos avanzados donde existe la opción

de publicar el listado de participantes.?

En relación con el motivo por el que se han publicado los datos de todos los

participantes en un sorteo que pueden accederse en la dirección

https://www.sortea2.com/versorteo/aparca-el-coche-y-embarcate_201094, los

representantes de la entidad manifiestan desconocer por qué Sortea2 publicó los

datos insertados para realizar el sorteo, jamás se les autorizó para ello y en sus

condiciones manifiestan que no se guardan datos, en el proceso de alta de sorteo no

había ninguna posibilidad de publicar los datos de los participantes, ni nos consta que

la haya actualmente, de haber habido esa posibilidad nunca la hubiéramos aceptado.

Cuando PETRONET ESPAÑA, S.A. accedía desde su usuario y contraseña tan solo

salía el nombre de usuario del ganador y suplentes, pero no de los participantes.

TERCERO: Consultada el 12 de abril de 2018 la aplicación de la AEPD que gestiona la

consulta de antecedentes de sanciones y apercibimientos precedentes, a la entidad

denunciada, no le constan registros previos.

CUARTO: Con fecha 27 de abril de 2018, la Directora de la Agencia Española de

Protección de Datos acordó someter a trámite de audiencia previa el presente

procedimiento de apercibimiento A/00174/2018. Dicho acuerdo fue notificado al

denunciado.

QUINTO: Con fecha 18 de mayo de 2018, se recibe en esta Agencia escrito del

denunciado en el que indica que la comunicación que se efectuó a la plataforma

Sortea2 estaba plenamente legitimada por cuanto eran comunicaciones habilitadas por

el artículo 11.1 de la LOPD ya que:

- El fin de las comunicaciones era cumplir las funciones inherentes al sorteo al

que el interesado quiso participar y estaba informado de esas comunicaciones,

imprescindibles para llevar a cabo el sorteo en el que habían consentido en

participar.

- El consentimiento fue expreso y se conocían las comunicaciones necesarias,

como indicaban las bases del concurso.

En cuanto a la cancelación, esa entidad contestó y atendió el derecho de

cancelación del denunciante.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

3/9

Desconocen el motivo por el que Sortea2 publicó los datos ya que éstos

indican que no almacenan dato alguno. El responsable de la publicación es Sortea2,

que ya ha tenido el mismo problema con otros concursos. Cuando conocieron la

publicación de los datos de los concursantes por parte de Sortea2 les comunicaron el

problema y se procedió al borrado del listado de concursantes.

HECHOS PROBADOS

PRIMERO: Don A.A.A. se inscribió en un sorteo que realizaba ?El Elefante Azul?, en

verano de 2017.

SEGUNDO: En fecha 19 de julio de 2017 solicitó a Petronet España, S.A.,

organizadora del sorteo, la cancelación de sus datos. Según indica recibió respuesta

de la entidad aceptando la cancelación.

TERCERO: A pesar de lo anterior, con fecha 12 de diciembre de 2017 se ha

acreditado que figura un listado de los participantes en un sorteo, publicado en la

página web www.sortea2.com.

CUARTO: Los datos se comunicaron a la mercantil AUTONET 24, S.L., por ser una

sociedad del grupo englobado por nuestra marca ?Elefante Azul? así como a la

plataforma Sortea2 como herramienta objetiva para realizar el sorteo de forma

independiente.

QUINTO: Petronet facilitó los datos de los participantes a la plataforma Sortea2. Esta

entidad no debía almacenar dato alguno.

SEXTO: En las condiciones legales de la plataforma Sortea2, consta lo siguiente:

?Es responsabilidad de los usuarios el no publicar datos personales de los participantes,

de acuerdo a la Legislación sobre Protección de Datos de carácter personal.

Desde Sortea2 hemos habilitado formularios para la retirada automática de cualquiera de

estos datos y los eliminamos de inmediato cuando recibimos consultas al respecto. Pero

la responsabilidad final recae sobre los usuarios de la página que los hayan publicado.

Esto en especial para los sorteos certificados y sorteos avanzados donde existe la opción

de publicar el listado de participantes.?

SÉPTIMO: En la actualidad ya no figuran los datos del denunciante en la página web

www.sortea2.com.

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la Directora de la Agencia

Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g)

en relación con el artículo 36 de la LOPD.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

4/9

II

El artículo 45.6 de la LOPD indica: ?Excepcionalmente el órgano sancionador

podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la

concurrencia significativa de los criterios establecidos en el apartado anterior, no

acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto

responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la

adopción de las medidas correctoras que en cada caso resultasen pertinentes,

siempre que concurran los siguientes presupuestos:

1 Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo

dispuesto en esta Ley.

2 Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador

hubiera determinado procederá la apertura del correspondiente procedimiento

sancionador por dicho incumplimiento?.

Teniendo en cuenta que en el presente supuesto se cumplen los requisitos

recogidos en los apartados a) y b) del citado apartado 6 y el denunciado no tiene como

actividad principal el tratamiento de datos, se aplica el procedimiento de

apercibimiento.

III

Los hechos expuestos constituyen la comisión por parte del denunciado una

infracción del artículo 11.1 de la LOPD que señala ?Los datos de carácter personal

objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento

de fines directamente relacionados con las funciones legítimas del cedente y del

cesionario con el previo consentimiento del interesado.? Infracción tipificada como

grave en el artículo 44.3.k) de dicha norma, que considera como tal ?La comunicación

o cesión de los datos de carácter personal sin contar con legitimación para ello en los

términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo

que la misma sea constitutiva de infracción muy grave.?

El artículo 11 de la LOPD, establece como regla general el previo

consentimiento del interesado para la comunicación de datos personales a un tercero.

Así dispone en su apartado 1 lo siguiente: ?1. Los datos de carácter personal objeto

del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de

fines directamente relacionados con las funciones legítimas del cedente y del

cesionario con el previo consentimiento del interesado.?

El artículo 3. i) de la citada norma define la ?cesión o comunicación de datos?

como ?toda revelación de datos realizada a una persona distinta del interesado?.

No obstante lo anterior, la propia LOPD habilita, en su artículo 12, el acceso de

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

5/9

terceros a los datos personales cuando el acceso a los datos se realice para prestar

un servicio al responsable del fichero o del tratamiento, al señalar en su apartado 1:

?1. No se considerará comunicación de datos el acceso de un tercero a los datos

cuando dicho acceso sea necesario para la prestación de un servicio al responsable

del tratamiento.?

El citado artículo 12.1 de la LOPD permite, por tanto, el acceso a datos de

carácter personal a la persona o entidad que presta un servicio al responsable del

fichero, sin que, por mandato expreso de la ley, pueda considerarse dicho acceso

como una cesión o comunicación de datos.

En el presente caso, Petronet facilitó los datos de los concursantes a Sortea2,

pero no firmó un contrato de prestación de servicios en el que se indicara lo que harían

los responsables de Sortea2 con los datos del ganador, suplentes y participantes; el

denunciado no ha acreditado la existencia de un contrato de prestación de servicios

que ampare el acceso de Sortea2 a los datos de la denunciante y su publicación.

IV

El artículo 28 del Reglamento (UE) 2016/679, de 27 de abril de 2016, General

de Protección de Datos, aplicable a partir del 25 mayo de 2018, establece:

del tratamiento, este elegirá únicamente un encargado que ofrezca garantías

suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que

el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la

protección de los derechos del interesado.

2. El encargado del tratamiento no recurrirá a otro encargado sin la

autorización previa por escrito, específica o general, del responsable. En este último

caso, el encargado informará al responsable de cualquier cambio previsto en la

incorporación o sustitución de otros encargados, dando así al responsable la

oportunidad de oponerse a dichos cambios.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico

con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al

encargado respecto del responsable y establezca el objeto, la duración, la naturaleza

y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados,

y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico

estipulará, en particular, que el encargado:

a) tratará los datos personales únicamente siguiendo instrucciones

documentadas del responsable, inclusive con respecto a las transferencias de datos

personales a un tercer país o una organización internacional, salvo que esté obligado

a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al

encargado; en tal caso, el encargado informará al responsable de esa exigencia legal

previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de

interés público;

b) garantizará que las personas autorizadas para tratar datos personales se

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

6/9

hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación

de confidencialidad de naturaleza estatutaria;

c) tomará todas las medidas necesarias de conformidad con el artículo 32;

d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a

otro encargado del tratamiento;

e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a

través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para

que este pueda cumplir con su obligación de responder a las solicitudes que tengan

por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo

III;

f) ayudará al responsable a garantizar el cumplimiento de las obligaciones

establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento

y la información a disposición del encargado;

g) a elección del responsable, suprimirá o devolverá todos los datos personales

una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias

existentes a menos que se requiera la conservación de los datos personales en virtud

del Derecho de la Unión o de los Estados miembros;

h) pondrá a disposición del responsable toda la información necesaria para

demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así

como para permitir y contribuir a la realización de auditorías, incluidas inspecciones,

por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado

informará inmediatamente al responsable si, en su opinión, una instrucción infringe el

presente Reglamento u otras disposiciones en materia de protección de datos de la

Unión o de los Estados miembros.

4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a

cabo determinadas actividades de tratamiento por cuenta del responsable, se

impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido

con arreglo al Derecho de la Unión o de los Estados miembros, las mismas

obligaciones de protección de datos que las estipuladas en el contrato u otro acto

jurídico entre el responsable y el encargado a que se refiere el apartado 3, en

particular la prestación de garantías suficientes de aplicación de medidas técnicas y

organizativas apropiadas de manera que el tratamiento sea conforme con las

disposiciones del presente Reglamento. Si ese otro encargado incumple sus

obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente

responsable ante el responsable del tratamiento por lo que respecta al cumplimiento

de las obligaciones del otro encargado.

5. La adhesión del encargado del tratamiento a un código de conducta

aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor

del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las

garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

7/9

6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren

un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3

y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas

contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive

cuando formen parte de una certificación concedida al responsable o encargado de

conformidad con los artículos 42 y 43.

7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que

se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento

de examen a que se refiere el artículo 93, apartado 2.

8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los

asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el

mecanismo de coherencia a que se refiere el artículo 63.

9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará

por escrito, inclusive en formato electrónico.

10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado

del tratamiento infringe el presente Reglamento al determinar los fines y medios del

tratamiento, será considerado responsable del tratamiento con respecto a dicho

tratamiento?>>

V

Así mismo el art. 6 del citado Reglamento (UE) 2016/679, al regular los

Principios relativos al tratamiento, establece:

a) tratados de manera lícita, leal y transparente en relación con el interesado

(«licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados

ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89,

apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en

interés público, fines de investigación científica e histórica o fines estadísticos no se

considerará incompatible con los fines iniciales («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines

para los que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas

razonables para que se supriman o rectifiquen sin dilación los datos personales que

sean inexactos con respecto a los fines para los que se tratan («exactitud»)?>>

En el presente caso, ha quedado acreditado que el denunciado no ha

comunicado a esta Agencia las medidas correctoras adoptadas. Teniendo en cuenta

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

8/9

estas circunstancias, procede realizar el presente requerimiento al denunciado para

las siguientes prestaciones de servicios que efectúe con terceros a los que facilite

datos personales de cuyo tratamiento sea responsable.

De acuerdo con lo señalado,

Por la Directora de la Agencia Española de Protección de Datos,

SE ACUERDA:

1.- APERCIBIR (A/00174/2018) a PETRONET ESPAÑA, S.A., con arreglo a lo

dispuesto en el artículo 45.6 de la LOPD, con relación a la denuncia por infracción del

artículo 11.1 de la LOPD, tipificada como grave en el artículo 44.3.k) de la citada Ley

Orgánica.

2.- REQUERIR a PETRONET ESPAÑA, S.A., de acuerdo con lo establecido en

el apartado 6 del artículo 45 de la Ley 15/1999 para que:

2.1.- CUMPLA lo previsto en el Reglamento (UE) 2016/679, en relación con la

cesión de los datos de sus clientes, bien amparando dicho tratamiento en el

consentimiento del interesado o sobre alguna otra base legítima establecida en el

artículo 6 del Reglamento (UE) 2016/679, o bien, cuando el tratamiento se realice

por un encargado por cuenta del denunciado, formalizando un contrato u otro acto

jurídico por el que se rija el tratamiento que realice el encargado, de acuerdo con

lo previsto en el artículo 28 del citado Reglamento.

3.- NOTIFICAR el presente Acuerdo a PETRONET ESPAÑA, S.A.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,

en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de

medidas fiscales, administrativas y del orden social, la presente Resolución se hará

pública, una vez haya sido notificada a los interesados. La publicación se realizará

conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia

Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo

a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado

por el Real Decreto 1720/2007, de 21 diciembre.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la

LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley

39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas, los interesados podrán interponer, potestativamente,

recurso de reposición ante la Directora de la Agencia Española de Protección de Datos

en el plazo de un mes a contar desde el día siguiente a la notificación de esta

resolución, o, directamente recurso contencioso administrativo ante la Sala de lo

Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el

artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de

13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de

dos meses a contar desde el día siguiente a la notificación de esta acto, según lo

previsto en el artículo 46.1 del referido texto legal.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

9/9

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

LIBROS Y CURSOS RELACIONADOS

Tratado de protección de datos personales
Disponible

Tratado de protección de datos personales

José Luis Domínguez Álvarez

29.75€

28.26€

+ Información

Suscripción más de 250 formularios para PYMES
Disponible

Suscripción más de 250 formularios para PYMES

Editorial Colex, S.L.

100.00€

95.00€

+ Información

Incidencia de la protección de datos en el ámbito laboral
Disponible

Incidencia de la protección de datos en el ámbito laboral

Dpto. Documentación Iberley

6.83€

6.49€

+ Información

Reglamento General de Protección de Datos (RGPD)
Disponible

Reglamento General de Protección de Datos (RGPD)

Editorial Colex, S.L.

3.65€

3.47€

+ Información