Última revisión
Resolución de la Agencia Española de Protección de Datos A-00174-2018 de 30 de julio de 2018
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 30/07/2018
Num. Resolución: A-00174-2018
Cuestión
Sector:1 / 9
Procedimiento Nº: A/00174/2018
RESOLUCIÓN: R/01349/2018
En el procedimiento A/00174/2018, instruido por la Agencia Española de
Protección de Datos a la entidad PETRONET ESPAÑA, S.A ., vista la denuncia
presentada por Don A.A.A., y en virtud de los...
Contestacion
1/9
Procedimiento Nº: A/00174/2018
RESOLUCIÓN: R/01349/2018
En el procedimiento A/00174/2018, instruido por la Agencia Española de
Protección de Datos a la entidad PETRONET ESPAÑA, S.A., vista la denuncia
presentada por Don A.A.A., y en virtud de los siguientes
ANTECEDENTES
PRIMERO: Con fecha 4 de diciembre de 2017, tiene entrada en esta Agencia una
denuncia presentada por Don A.A.A. (en lo sucesivo, el denunciante), en la que
manifiesta que en verano de 2017 se inscribió en un sorteo que realizaba ?El Elefante
Azul?.
En fecha 19 de julio de 2017 solicitó a la entidad Petronet España, S.A., organizadora
del sorteo, la cancelación de sus datos. Según indica recibió respuesta de la entidad,
pero no la aporta junto con su reclamación.
A pesar de lo anterior sus datos figuran en www.sortea2.com como participante del
sorteo.
SEGUNDO: Tras la recepción de la denuncia la Subdirección General de Inspección
de Datos procedió a la realización de actuaciones previas de investigación para el
esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes
extremos:
Con fecha 12 de diciembre de 2017 se ha acreditado que figura un listado de
los participantes en un sorteo, publicado en la página web www.sortea2.com.
Según indican los representantes de Petronet se recibió por parte del
denunciante solicitud de cancelación de datos personales el pasado 19 de julio de
2017 y se procedió a contestar por escrito el pasado 1 de agosto de 2017.
En relación a los datos que figuran en sus ficheros relativos al denunciante, los
responsables de la entidad manifiestan que tras la solicitud de cancelación recibida el
19 de julio de 2017, se procedió a borrar todos sus datos por lo que en la actualidad
PETRONET ESPAÑA, S.A., no tiene datos personales suyos en sus sistemas de
información.
Los datos del reclamante se han cedido a AUTONET24 S.L. como se indica en
las bases de la promoción ?aparca el coche y embárcate? aceptadas por todos los
participantes del sorteo organizado por PETRONET ESPAÑA, S.A.
Los datos se comunicaron a la mercantil AUTONET 24, S.L., por ser una
sociedad del grupo englobado por nuestra marca ?Elefante Azul? así como a la
plataforma Sortea2 como herramienta objetiva para realizar el sorteo de forma
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
2/9
independiente.
Según manifiestan los representantes de Petronet, los datos de los
participantes se comunicaron a la plataforma Sortea2, esta entidad no debía
almacenar dato alguno, es decir, se realiza el sorteo y los datos se eliminan, no
obstante en las condiciones legales de dicha página web, aportada en su escrito de
respuesta consta que
?Es responsabilidad de los usuarios el no publicar datos personales de los participantes,
de acuerdo a la Legislación sobre Protección de Datos de carácter personal.
Desde Sortea2 hemos habilitado formularios para la retirada automática de cualquiera de
estos datos y los eliminamos de inmediato cuando recibimos consultas al respecto. Pero
la responsabilidad final recae sobre los usuarios de la página que los hayan publicado.
Esto en especial para los sorteos certificados y sorteos avanzados donde existe la opción
de publicar el listado de participantes.?
En relación con el motivo por el que se han publicado los datos de todos los
participantes en un sorteo que pueden accederse en la dirección
https://www.sortea2.com/versorteo/aparca-el-coche-y-embarcate_201094, los
representantes de la entidad manifiestan desconocer por qué Sortea2 publicó los
datos insertados para realizar el sorteo, jamás se les autorizó para ello y en sus
condiciones manifiestan que no se guardan datos, en el proceso de alta de sorteo no
había ninguna posibilidad de publicar los datos de los participantes, ni nos consta que
la haya actualmente, de haber habido esa posibilidad nunca la hubiéramos aceptado.
Cuando PETRONET ESPAÑA, S.A. accedía desde su usuario y contraseña tan solo
salía el nombre de usuario del ganador y suplentes, pero no de los participantes.
TERCERO: Consultada el 12 de abril de 2018 la aplicación de la AEPD que gestiona la
consulta de antecedentes de sanciones y apercibimientos precedentes, a la entidad
denunciada, no le constan registros previos.
CUARTO: Con fecha 27 de abril de 2018, la Directora de la Agencia Española de
Protección de Datos acordó someter a trámite de audiencia previa el presente
procedimiento de apercibimiento A/00174/2018. Dicho acuerdo fue notificado al
denunciado.
QUINTO: Con fecha 18 de mayo de 2018, se recibe en esta Agencia escrito del
denunciado en el que indica que la comunicación que se efectuó a la plataforma
Sortea2 estaba plenamente legitimada por cuanto eran comunicaciones habilitadas por
el artículo 11.1 de la LOPD ya que:
- El fin de las comunicaciones era cumplir las funciones inherentes al sorteo al
que el interesado quiso participar y estaba informado de esas comunicaciones,
imprescindibles para llevar a cabo el sorteo en el que habían consentido en
participar.
- El consentimiento fue expreso y se conocían las comunicaciones necesarias,
como indicaban las bases del concurso.
En cuanto a la cancelación, esa entidad contestó y atendió el derecho de
cancelación del denunciante.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
3/9
Desconocen el motivo por el que Sortea2 publicó los datos ya que éstos
indican que no almacenan dato alguno. El responsable de la publicación es Sortea2,
que ya ha tenido el mismo problema con otros concursos. Cuando conocieron la
publicación de los datos de los concursantes por parte de Sortea2 les comunicaron el
problema y se procedió al borrado del listado de concursantes.
HECHOS PROBADOS
PRIMERO: Don A.A.A. se inscribió en un sorteo que realizaba ?El Elefante Azul?, en
verano de 2017.
SEGUNDO: En fecha 19 de julio de 2017 solicitó a Petronet España, S.A.,
organizadora del sorteo, la cancelación de sus datos. Según indica recibió respuesta
de la entidad aceptando la cancelación.
TERCERO: A pesar de lo anterior, con fecha 12 de diciembre de 2017 se ha
acreditado que figura un listado de los participantes en un sorteo, publicado en la
página web www.sortea2.com.
CUARTO: Los datos se comunicaron a la mercantil AUTONET 24, S.L., por ser una
sociedad del grupo englobado por nuestra marca ?Elefante Azul? así como a la
plataforma Sortea2 como herramienta objetiva para realizar el sorteo de forma
independiente.
QUINTO: Petronet facilitó los datos de los participantes a la plataforma Sortea2. Esta
entidad no debía almacenar dato alguno.
SEXTO: En las condiciones legales de la plataforma Sortea2, consta lo siguiente:
?Es responsabilidad de los usuarios el no publicar datos personales de los participantes,
de acuerdo a la Legislación sobre Protección de Datos de carácter personal.
Desde Sortea2 hemos habilitado formularios para la retirada automática de cualquiera de
estos datos y los eliminamos de inmediato cuando recibimos consultas al respecto. Pero
la responsabilidad final recae sobre los usuarios de la página que los hayan publicado.
Esto en especial para los sorteos certificados y sorteos avanzados donde existe la opción
de publicar el listado de participantes.?
SÉPTIMO: En la actualidad ya no figuran los datos del denunciante en la página web
www.sortea2.com.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g)
en relación con el artículo 36 de la LOPD.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
4/9
II
El artículo 45.6 de la LOPD indica: ?Excepcionalmente el órgano sancionador
podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la
concurrencia significativa de los criterios establecidos en el apartado anterior, no
acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto
responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la
adopción de las medidas correctoras que en cada caso resultasen pertinentes,
siempre que concurran los siguientes presupuestos:
1 Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo
dispuesto en esta Ley.
2 Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador
hubiera determinado procederá la apertura del correspondiente procedimiento
sancionador por dicho incumplimiento?.
Teniendo en cuenta que en el presente supuesto se cumplen los requisitos
recogidos en los apartados a) y b) del citado apartado 6 y el denunciado no tiene como
actividad principal el tratamiento de datos, se aplica el procedimiento de
apercibimiento.
III
Los hechos expuestos constituyen la comisión por parte del denunciado una
infracción del artículo 11.1 de la LOPD que señala ?Los datos de carácter personal
objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento
de fines directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado.? Infracción tipificada como
grave en el artículo 44.3.k) de dicha norma, que considera como tal ?La comunicación
o cesión de los datos de carácter personal sin contar con legitimación para ello en los
términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo
que la misma sea constitutiva de infracción muy grave.?
El artículo 11 de la LOPD, establece como regla general el previo
consentimiento del interesado para la comunicación de datos personales a un tercero.
Así dispone en su apartado 1 lo siguiente: ?1. Los datos de carácter personal objeto
del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de
fines directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado.?
El artículo 3. i) de la citada norma define la ?cesión o comunicación de datos?
como ?toda revelación de datos realizada a una persona distinta del interesado?.
No obstante lo anterior, la propia LOPD habilita, en su artículo 12, el acceso de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
5/9
terceros a los datos personales cuando el acceso a los datos se realice para prestar
un servicio al responsable del fichero o del tratamiento, al señalar en su apartado 1:
?1. No se considerará comunicación de datos el acceso de un tercero a los datos
cuando dicho acceso sea necesario para la prestación de un servicio al responsable
del tratamiento.?
El citado artículo 12.1 de la LOPD permite, por tanto, el acceso a datos de
carácter personal a la persona o entidad que presta un servicio al responsable del
fichero, sin que, por mandato expreso de la ley, pueda considerarse dicho acceso
como una cesión o comunicación de datos.
En el presente caso, Petronet facilitó los datos de los concursantes a Sortea2,
pero no firmó un contrato de prestación de servicios en el que se indicara lo que harían
los responsables de Sortea2 con los datos del ganador, suplentes y participantes; el
denunciado no ha acreditado la existencia de un contrato de prestación de servicios
que ampare el acceso de Sortea2 a los datos de la denunciante y su publicación.
IV
El artículo 28 del Reglamento (UE) 2016/679, de 27 de abril de 2016, General
de Protección de Datos, aplicable a partir del 25 mayo de 2018, establece:
del tratamiento, este elegirá únicamente un encargado que ofrezca garantías
suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que
el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la
protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la
autorización previa por escrito, específica o general, del responsable. En este último
caso, el encargado informará al responsable de cualquier cambio previsto en la
incorporación o sustitución de otros encargados, dando así al responsable la
oportunidad de oponerse a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico
con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al
encargado respecto del responsable y establezca el objeto, la duración, la naturaleza
y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados,
y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico
estipulará, en particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones
documentadas del responsable, inclusive con respecto a las transferencias de datos
personales a un tercer país o una organización internacional, salvo que esté obligado
a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al
encargado; en tal caso, el encargado informará al responsable de esa exigencia legal
previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de
interés público;
b) garantizará que las personas autorizadas para tratar datos personales se
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
6/9
hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación
de confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a
otro encargado del tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a
través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para
que este pueda cumplir con su obligación de responder a las solicitudes que tengan
por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo
III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones
establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento
y la información a disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales
una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias
existentes a menos que se requiera la conservación de los datos personales en virtud
del Derecho de la Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para
demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así
como para permitir y contribuir a la realización de auditorías, incluidas inspecciones,
por parte del responsable o de otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado
informará inmediatamente al responsable si, en su opinión, una instrucción infringe el
presente Reglamento u otras disposiciones en materia de protección de datos de la
Unión o de los Estados miembros.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a
cabo determinadas actividades de tratamiento por cuenta del responsable, se
impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido
con arreglo al Derecho de la Unión o de los Estados miembros, las mismas
obligaciones de protección de datos que las estipuladas en el contrato u otro acto
jurídico entre el responsable y el encargado a que se refiere el apartado 3, en
particular la prestación de garantías suficientes de aplicación de medidas técnicas y
organizativas apropiadas de manera que el tratamiento sea conforme con las
disposiciones del presente Reglamento. Si ese otro encargado incumple sus
obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente
responsable ante el responsable del tratamiento por lo que respecta al cumplimiento
de las obligaciones del otro encargado.
5. La adhesión del encargado del tratamiento a un código de conducta
aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor
del artículo 42 podrá utilizarse como elemento para demostrar la existencia de las
garantías suficientes a que se refieren los apartados 1 y 4 del presente artículo.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
7/9
6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren
un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3
y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas
contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive
cuando formen parte de una certificación concedida al responsable o encargado de
conformidad con los artículos 42 y 43.
7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que
se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento
de examen a que se refiere el artículo 93, apartado 2.
8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los
asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el
mecanismo de coherencia a que se refiere el artículo 63.
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará
por escrito, inclusive en formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado
del tratamiento infringe el presente Reglamento al determinar los fines y medios del
tratamiento, será considerado responsable del tratamiento con respecto a dicho
tratamiento?>>
V
Así mismo el art. 6 del citado Reglamento (UE) 2016/679, al regular los
Principios relativos al tratamiento, establece:
a) tratados de manera lícita, leal y transparente en relación con el interesado
(«licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados
ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89,
apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en
interés público, fines de investigación científica e histórica o fines estadísticos no se
considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines
para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas
razonables para que se supriman o rectifiquen sin dilación los datos personales que
sean inexactos con respecto a los fines para los que se tratan («exactitud»)?>>
En el presente caso, ha quedado acreditado que el denunciado no ha
comunicado a esta Agencia las medidas correctoras adoptadas. Teniendo en cuenta
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
8/9
estas circunstancias, procede realizar el presente requerimiento al denunciado para
las siguientes prestaciones de servicios que efectúe con terceros a los que facilite
datos personales de cuyo tratamiento sea responsable.
De acuerdo con lo señalado,
Por la Directora de la Agencia Española de Protección de Datos,
SE ACUERDA:
1.- APERCIBIR (A/00174/2018) a PETRONET ESPAÑA, S.A., con arreglo a lo
dispuesto en el artículo 45.6 de la LOPD, con relación a la denuncia por infracción del
artículo 11.1 de la LOPD, tipificada como grave en el artículo 44.3.k) de la citada Ley
Orgánica.
2.- REQUERIR a PETRONET ESPAÑA, S.A., de acuerdo con lo establecido en
el apartado 6 del artículo 45 de la Ley 15/1999 para que:
2.1.- CUMPLA lo previsto en el Reglamento (UE) 2016/679, en relación con la
cesión de los datos de sus clientes, bien amparando dicho tratamiento en el
consentimiento del interesado o sobre alguna otra base legítima establecida en el
artículo 6 del Reglamento (UE) 2016/679, o bien, cuando el tratamiento se realice
por un encargado por cuenta del denunciado, formalizando un contrato u otro acto
jurídico por el que se rija el tratamiento que realice el encargado, de acuerdo con
lo previsto en el artículo 28 del citado Reglamento.
3.- NOTIFICAR el presente Acuerdo a PETRONET ESPAÑA, S.A.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de
medidas fiscales, administrativas y del orden social, la presente Resolución se hará
pública, una vez haya sido notificada a los interesados. La publicación se realizará
conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia
Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo
a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado
por el Real Decreto 1720/2007, de 21 diciembre.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, los interesados podrán interponer, potestativamente,
recurso de reposición ante la Directora de la Agencia Española de Protección de Datos
en el plazo de un mes a contar desde el día siguiente a la notificación de esta
resolución, o, directamente recurso contencioso administrativo ante la Sala de lo
Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de
13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de
dos meses a contar desde el día siguiente a la notificación de esta acto, según lo
previsto en el artículo 46.1 del referido texto legal.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
9/9
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es