Resolución de la Agencia Española de Protección de Datos E-03752-2018 de 01 de julio de 2019
Resoluciones
Resolución de la Agencia ...io de 2019

Última revisión

Resolución de la Agencia Española de Protección de Datos E-03752-2018 de 01 de julio de 2019

Tiempo de lectura: 19 min

Relacionados:

Órgano: Agencia Española de Protección de Datos

Fecha: 01/07/2019

Num. Resolución: E-03752-2018

Tiempo de lectura: 19 min


Cuestión

Sector:

1 / 8

940-0419

Procedimiento Nº: E/03752/2018

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES

De las actuaciones practicadas por la Agencia Española de Protección de Datos

y en consideración a los siguientes

HECHOS

PRIMERO : D.ª A.A.A. (en adelante, la reclamante) presentó en la Agencia...

Contestacion

1/8

940-0419

Procedimiento Nº: E/03752/2018

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES

De las actuaciones practicadas por la Agencia Española de Protección de Datos

y en consideración a los siguientes

HECHOS

PRIMERO: D.ª A.A.A. (en adelante, la reclamante) presentó en la Agencia Española

de Protección de Datos (AEPD) una reclamación frente a YOUZZ.NET -WOM

INTERNATIONAL S.A.- (en lo sucesivo, la reclamada) en la que manifiesta que, pese

a haberle solicitado en numerosas ocasiones que ponga fin al envío de

comunicaciones comerciales, continúa recibiendo correos electrónicos de la entidad de

modo reiterado.

Anexa a su denuncia los siguientes documentos:

-Captura de pantalla de un mensaje electrónico remitido por la reclamada en

respuesta a su solicitud de baja. El texto es el siguiente:

RE: Baja mailing, mié., 28 feb. 2018 10:22

Hola [nombre de la denunciante]

Sentimos que quieras darte de baja de nuestra comunidad, porque nos encantaría

seguir contando contigo en próximas campañas. ? Para darte de baja debes hacerlo

tú desde tu perfil. Cuando inicies sesión con tu usuario y contraseña, en la parte

inferior derecha de la página principal encontrarás el botón ?Cerrar cuenta?>>

El mensaje aparece firmado por B.B.B., ?Community and Project Executive?.

-Captura de pantalla de un mensaje electrónico remitido por la reclamada, de

fecha 13/03/2018, a las 14:58, relativo a la ?Nueva campaña: Protege a tu bebé?.

-Captura de pantalla de un mensaje que la reclamante envía el 13/03/2018 a las

15:08 horas con el asunto ?BAJA?. El texto del mensaje es el siguiente: ?Quiero darme

de baja, ya lo he hecho vía web y sigo recibiendo vuestros correos?

-Captura de pantalla de un mensaje remitido por la reclamada, de fecha

16/03/2018 a las 11,56, con el asunto ?BAJA?. El texto es este: ?Hola [nombre de la

denunciante] En nuestra base de datos no aparece ninguna cuenta con tu email. Si

vuelves a recibir correos avísanos, pero ya no estás registrada en YOUZZ..?

Los documentos aportados no permiten conocer los datos de las direccione

electrónicas desde las que se envían y se reciben los correos electrónicos.

SEGUNDO: Tras la recepción de la reclamación, la Subdirección General de

Inspección de Datos procedió a realizar actuaciones tendentes al esclarecimiento de

los hechos.

La Política de Privacidad de la página web de la reclamada informa de que la

propietaria de la página tiene su sede en Portugal. Por tal razón, en fecha 19/07/2018

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/8

la Inspección de Datos de la AEPD solicita la colaboración de la Comissão Nacional

de Protecção de Dados informándole de que la titular de la dirección electrónica

***EMAIL.1 recibe comunicaciones electrónicas, remitidas desde youzz.net, en las que

se promocionan los productos o servicios de WOM INTERNATIONAL, S.A.

Las actuaciones de investigación practicadas fueron las siguientes:

1. La Ley 34/2002 resulta de aplicación a los prestadores de servicios de la

sociedad de la información establecidos en otro Estado miembro de la Unión Europea

o del Espacio Económico Europeo cuando el destinatario de los servicios radique en

España y los servicios afecten a la licitud de las comunicaciones comerciales remitidas

por correo electrónico u otro medio de comunicación electrónica equivalente no

solicitadas.

2. De acuerdo con la citada norma no se pueden remitir comunicaciones

comerciales a través de medios electrónicos, tales como: un correo electrónico o un

SMS, dirigidas a la promoción directa o indirecta de los bienes o servicios de una

empresa, organización o persona que realice una actividad comercial, industrial,

artesanal o profesional, que previamente no hayan sido solicitadas o autorizadas

expresamente por el destinatario.

Por tanto no se puede enviar publicidad por medios electrónicos a personas o

empresas que no hayan consentido previa y expresamente el envío, aunque sus datos

figuren en fuentes de acceso público o se encuentren publicados en Internet.

3. Para que el consentimiento prestado por el destinatario sea válido es

necesario que, cuando se solicite su consentimiento, se le informe de los sectores de

actividad de los que puede recibir publicidad y que aquél manifieste su aceptación a la

recepción de comunicaciones comerciales por medios electrónicos.

4. Se deben habilitar procedimientos sencillos y gratuitos que permitan a los

destinatarios revocar en cualquier momento el consentimiento prestado para la

recepción de comunicaciones comerciales con la simple notificación de su voluntad al

remitente. Además, se deberá facilitar información accesible por medios electrónicos

sobre dichos procedimientos.

Cuando la publicidad se remita por correo electrónico se deberá incluir

obligatoriamente en éste una dirección de correo electrónico u otra dirección

electrónica válida donde el destinatario pueda ejercitar el derecho descrito en el

párrafo anterior.

5. No obstante, está permitido enviar comunicaciones comerciales a los

destinatarios con los que exista una relación contractual previa, en cuyo caso se

puede enviar publicidad sobre productos o servicios de la propia empresa similares a

los contratados por el cliente, siempre que la comunicación cuente con los siguientes

elementos:

- Los datos de contacto del destinatario se hayan obtenido de forma lícita.

- La publicidad se refiera a productos o servicios de la propia empresa que sean

similares a los que inicialmente fueron objeto de contratación con el cliente.

- Se ofrezca al destinatario la posibilidad de oponerse al tratamiento de sus

datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/8

el momento de recogida de los datos como en cada una de las comunicaciones

comerciales que le dirija.

- Cuando la publicidad se remita por correo electrónico este incluya

obligatoriamente una dirección de correo electrónico u otra dirección electrónica válida

donde el destinatario pueda ejercitar el derecho descrito en el párrafo anterior.

6. El envío de comunicaciones comerciales que no reúnan los requisitos

indicados puede ser constitutivo de una infracción de la Ley 34/2002, de 11 de julio, de

Servicios de la Sociedad de la Información y de Comercio Electrónico.

Finalmente, se ha solicitado su colaboración para que inste a la entidad

denunciada a que cese la remisión de correos publicitarios a la dirección electrónica

***EMAIL.1 y que facilite cuanta información pueda aportar en relación con lo alegado

por el denunciante.

Hasta la fecha no se ha recibido respuesta por parte de Comissão Nacional de

Protecção de Dados>>

Por la Inspección se e accede a la página web de la reclamada y se comprueba

que incorpora en su Política de Privacidad la siguiente información: El usuario autoriza

expresamente el uso de sus datos personales para recibir comunicaciones

electrónicas con fines de marketing y publicidad. El usuario tiene derecho a acceder a

la información sobre sus datos personales y puede actualizarlos, corregirlos si son

inexactos y cancelarlos. A tal fin puede acceder al área reservada a los usuarios o

enviar un email a la dirección miembros.espana@youz.net solicitando la acción

deseada.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes de investigación y correctivos que el artículo 58 del

Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante

RGPD) otorga a cada autoridad de control, y según lo dispuesto en el artículo 47 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y

garantía de los derechos digitales (en lo sucesivo LOPDGDD), es competente para

resolver estas actuaciones de investigación la Directora de la Agencia Española de

Protección de Datos.

II

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/8

El artículo 6 del RGPD establece en el punto 1 que ?El consentimiento sólo será

lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos

personales para uno o varios fines específicos

(?)?.

El artículo 7.3 del RGPD, bajo la rúbrica ?Condiciones para el consentimiento?,

indica: ?3. El interesado tendrá derecho a revocar su consentimiento en cualquier

momento. La retirada del consentimiento no afectará a la licitud del tratamiento

basada en el consentimiento previo a su retirada. Antes de dar su consentimiento el

interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo?.

La Ley 34/2002, de 11/07/2002, de Servicios de la Sociedad de la Información y

de Comercio Electrónico (LSSI) regula -entre otras materias- el régimen jurídico de las

?comunicaciones comerciales?. El Anexo de la citada Ley, apartado f), define las

comunicaciones comerciales en los siguientes términos:

?toda forma de comunicación dirigida a la promoción, directa o indirecta, de la

imagen o de los bienes o servicios de una empresa, organización o persona que

realice una actividad comercial, industrial, artesanal o profesional.

A efectos de esta Ley, no tendrán la consideración de comunicación comercial

los datos que permitan acceder directamente a la actividad de una persona, empresa

u organización, tales como el nombre de dominio o la dirección de correo electrónico,

ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca

cuando sean elaboradas por un tercero y sin contraprestación económica

El Título III de la LSSI lleva por rúbrica ?Comunicaciones comerciales por vía

electrónica? (artículos 19 a 22). El artículo 21, ?Prohibición de comunicaciones

comerciales realizadas a través de correo electrónico o medios de comunicación

electrónica equivalentes?, indica:

?1. Queda prohibido el envío de comunicaciones publicitarias o promocionales

por correo electrónico u otro medio de comunicación electrónica equivalente que

previamente no hubieran sido solicitadas o expresamente autorizadas por los

destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una

relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita

los datos de contacto del destinatario y los empleara para el envío de comunicaciones

comerciales referentes a productos o servicios de su propia empresa que sean

similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de

oponerse al tratamiento de sus datos con fines promocionales mediante un

procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como

en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico,

dicho medio deberá consistir necesariamente en la inclusión de una dirección de

correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este

derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/8

dirección.?

El artículo 22 de la LSSI, ?Derechos de los destinatarios de los servicios?,

dispone:

?1. El destinatario podrá revocar en cualquier momento el consentimiento

prestado a la recepción de comunicaciones comerciales con la simple notificación de

su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos

sencillos y gratuitos para que los destinatarios de servicios puedan revocar el

consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido

remitidas por correo electrónico dicho medio deberá consistir necesariamente en la

inclusión de una dirección de correo electrónico u otra dirección electrónica válida

donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones

que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre

dichos procedimientos. (?)?

El artículo 38.4 de la LSSI tipifica como infraccione leves (apartados d y h,

respectivamente) la vulneración de los artículos 21 y 22. El plazo de prescripción de

las infracciones leves (artículo 45 de la LSSI) es de seis meses.

III

La denunciada tiene su sede en Portugal, Estado miembro de la U.E.

El RGPD prevé que cada autoridad de control será competente para

desempeñar en el territorio de su Estado miembro las funciones que se le asignen y

ejercer los poderes que se le confieran, de conformidad con el presente Reglamento

(artículo 55)

El artículo 56 del RGPD se ocupa, en particular, de la ?Competencia de la

autoridad de control principal? y dispone:

?1. Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del

establecimiento principal o del único establecimiento del responsable o del encargado

del tratamiento será competente para actuar como autoridad de control principal para

el tratamiento transfronterizo realizado por parte de dicho responsable o encargado

con arreglo al procedimiento establecido en el artículo 60.

2. No obstante lo dispuesto en el apartado 1, cada autoridad de control será

competente para tratar una reclamación que le sea presentada o una posible

infracción del presente Reglamento, en caso de que se refiera únicamente a un

establecimiento situado en su Estado miembro o únicamente afecte de manera

sustancial a interesados en su Estado miembro.

3. En los casos a que se refiere el apartado 2 del presente artículo, la autoridad

de control informará sin dilación al respecto a la autoridad de control principal. En el

plazo de tres semanas después de haber sido informada, la autoridad de control

principal decidirá si tratará o no el caso de conformidad con el procedimiento

establecido en el artículo 60, teniendo presente si existe un establecimiento del

responsable o encargado del tratamiento en el Estado miembro de la autoridad de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/8

control que le haya informado.

4. En caso de que la autoridad de control principal decida tratar el caso, se

aplicará el procedimiento establecido en el artículo 60. La autoridad de control que

haya informado a la autoridad de control principal podrá presentarle un proyecto de

decisión. La autoridad de control principal tendrá en cuenta en la mayor medida

posible dicho proyecto al preparar el proyecto de decisión a que se refiere el artículo

60, apartado 3.

5. En caso de que la autoridad de control principal decida no tratar el caso, la

autoridad de control que le haya informado lo tratará con arreglo a los artículos 61 y

62.

6. La autoridad de control principal será el único interlocutor del responsable o

del encargado en relación con el tratamiento transfronterizo realizado por dicho

responsable o encargado.?

El artículo 61 del RGPD regula la ?Asistencia mutua? y señala:

?1. Las autoridades de control se facilitarán información útil y se prestarán

asistencia mutua a fin de aplicar el presente Reglamento de manera coherente, y

tomarán medidas para asegurar una efectiva cooperación entre ellas. La asistencia

mutua abarcará, en particular, las solicitudes de información y las medidas de control,

como las solicitudes para llevar a cabo autorizaciones y consultas previas,

inspecciones e investigaciones.

2. Cada autoridad de control adoptará todas las medidas oportunas requeridas

para responder a una solicitud de otra autoridad de control sin dilación indebida y a

más tardar en el plazo de un mes a partir de la solicitud. Dichas medidas podrán

incluir, en particular, la transmisión de información pertinente sobre el desarrollo de

una investigación.

3. Las solicitudes de asistencia deberán contener toda la información necesaria,

entre otras cosas respecto de la finalidad y los motivos de la solicitud. La información

que se intercambie se utilizará únicamente para el fin para el que haya sido solicitada.

4. La autoridad de control requerida no podrá negarse a responder a una

solicitud, salvo si:

a) no es competente en relación con el objeto de la solicitud o con las medidas

cuya ejecución se solicita, o

b) el hecho de responder a la solicitud infringiría el presente Reglamento o el

Derecho de la Unión o de los Estados miembros que se aplique a la autoridad de

control a la que se dirigió la solicitud.

5. La autoridad de control requerida informará a la autoridad de control

requirente de los resultados obtenidos o, en su caso, de los progresos registrados o

de las medidas adoptadas para responder a su solicitud. La autoridad de control

requerida explicará los motivos de su negativa a responder a una solicitud al amparo

del apartado 4.

6. Como norma general, las autoridades de control requeridas facilitarán la

información solicitada por otras autoridades de control por medios electrónicos,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/8

utilizando un formato normalizado.

7. Las autoridades de control requeridas no cobrarán tasa alguna por las

medidas adoptadas a raíz de una solicitud de asistencia mutua. Las autoridades de

control podrán convenir normas de indemnización recíproca por gastos específicos

derivados de la prestación de asistencia mutua en circunstancias excepcionales.

8. Cuando una autoridad de control no facilite la información mencionada en el

apartado 5 del presente artículo en el plazo de un mes a partir de la recepción de la

solicitud de otra autoridad de control, la autoridad de control requirente podrá adoptar

una medida provisional en el territorio de su Estado miembro de conformidad con lo

dispuesto en el artículo 55, apartado 1. En ese caso, se supondrá que existe la

necesidad urgente contemplada en el artículo 66, apartado 1, que exige una decisión

urgente y vinculante del Comité en virtud del artículo 66, apartado 2.

9. La Comisión podrá, mediante actos de ejecución, especificar el formato y los

procedimientos de asistencia mutua contemplados en el presente artículo, así como

las modalidades del intercambio de información por medios electrónicos entre las

autoridades de control y entre las autoridades de control y el Comité, en especial el

formato normalizado mencionado en el apartado 6 del presente artículo. Dichos actos

de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el

artículo 93, apartado 2.? (El subrayado es de la AEPD)

IV

En relación con la reclamación que nos ocupa esta Agencia se dirigió a la

autoridad de control portuguesa -toda vez que es en Portugal donde la reclamada

tiene su establecimiento- y le solicitó determinada información.

En fecha 19/07/2018 se firma por la Inspección de Datos de la AEPD el escrito

remitido a la autoridad portuguesa (Comissão Nacional de Protecção de Dados). A día

de hoy no se ha recibido respuesta.

Paralelamente se ha de indicar que, conforme a lo prevenido en la normativa

española -en particular, por lo que se refiere al presente asunto, la LSSI-, en la

hipótesis de que la conducta sobre la que versa la reclamación entrañara una

infracción de esa norma ésta sería constitutiva de una infracción leve (artículo 38.4)

cuyo plazo de prescripción es de seis meses (artículo 45).

Recordemos que la única comunicación comercial que la reclamante acredita

haber recibido de la reclamada con posterioridad a la fecha en la que, supuestamente,

había revocado el consentimiento para el tratamiento de sus datos por la reclamada,

es de fecha 13/03/2018, de modo que en el supuesto de que los hechos hubieran sido

constitutivos de una infracción de la LSSI (necesariamente de carácter leve, a tenor de

las circunstancias que concurren) tal infracción estaría prescrita desde el 13/10/2018

Así pues, habida cuenta del tiempo transcurrido desde que esta Agencia se

dirigió a la autoridad portuguesa de protección de datos (más de diez meses) sin que

se haya obtenido respuesta, la infracción en la que pudiera haber incurrido la

reclamada habría prescrito por el transcurso del plazo de seis meses que fija el

artículo 45 LSSI.

Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia

Española de Protección de Datos,

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/8

SE ACUERDA:

1. PROCEDER AL ARCHIVO de las presentes actuaciones.

2. NOTIFICAR la presente resolución a D.ª A.A.A..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la

presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo

preceptuado por el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento

Administrativo Común de las Administraciones Públicas, y de conformidad con lo

establecido en los arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

LIBROS Y CURSOS RELACIONADOS

Tratado de protección de datos personales
Disponible

Tratado de protección de datos personales

José Luis Domínguez Álvarez

29.75€

28.26€

+ Información

El uso de las TICs en la cooperación jurídica penal internacional
Disponible

El uso de las TICs en la cooperación jurídica penal internacional

V.V.A.A

21.25€

20.19€

+ Información

Suscripción más de 250 formularios para PYMES
Disponible

Suscripción más de 250 formularios para PYMES

Editorial Colex, S.L.

100.00€

95.00€

+ Información

Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)
Disponible

Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)

Dpto. Documentación Iberley

12.75€

6.38€

+ Información