Última revisión
Resolución de la Agencia Española de Protección de Datos E-03752-2018 de 01 de julio de 2019
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 01/07/2019
Num. Resolución: E-03752-2018
Cuestión
Sector:1 / 8
940-0419
Procedimiento Nº: E/03752/2018
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos
y en consideración a los siguientes
HECHOS
PRIMERO : D.ª A.A.A. (en adelante, la reclamante) presentó en la Agencia...
Contestacion
1/8
940-0419
Procedimiento Nº: E/03752/2018
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos
y en consideración a los siguientes
HECHOS
PRIMERO: D.ª A.A.A. (en adelante, la reclamante) presentó en la Agencia Española
de Protección de Datos (AEPD) una reclamación frente a YOUZZ.NET -WOM
INTERNATIONAL S.A.- (en lo sucesivo, la reclamada) en la que manifiesta que, pese
a haberle solicitado en numerosas ocasiones que ponga fin al envío de
comunicaciones comerciales, continúa recibiendo correos electrónicos de la entidad de
modo reiterado.
Anexa a su denuncia los siguientes documentos:
-Captura de pantalla de un mensaje electrónico remitido por la reclamada en
respuesta a su solicitud de baja. El texto es el siguiente:
RE: Baja mailing, mié., 28 feb. 2018 10:22
Hola [nombre de la denunciante]
Sentimos que quieras darte de baja de nuestra comunidad, porque nos encantaría
seguir contando contigo en próximas campañas. ? Para darte de baja debes hacerlo
tú desde tu perfil. Cuando inicies sesión con tu usuario y contraseña, en la parte
inferior derecha de la página principal encontrarás el botón ?Cerrar cuenta?>>
El mensaje aparece firmado por B.B.B., ?Community and Project Executive?.
-Captura de pantalla de un mensaje electrónico remitido por la reclamada, de
fecha 13/03/2018, a las 14:58, relativo a la ?Nueva campaña: Protege a tu bebé?.
-Captura de pantalla de un mensaje que la reclamante envía el 13/03/2018 a las
15:08 horas con el asunto ?BAJA?. El texto del mensaje es el siguiente: ?Quiero darme
de baja, ya lo he hecho vía web y sigo recibiendo vuestros correos?
-Captura de pantalla de un mensaje remitido por la reclamada, de fecha
16/03/2018 a las 11,56, con el asunto ?BAJA?. El texto es este: ?Hola [nombre de la
denunciante] En nuestra base de datos no aparece ninguna cuenta con tu email. Si
vuelves a recibir correos avísanos, pero ya no estás registrada en YOUZZ..?
Los documentos aportados no permiten conocer los datos de las direccione
electrónicas desde las que se envían y se reciben los correos electrónicos.
SEGUNDO: Tras la recepción de la reclamación, la Subdirección General de
Inspección de Datos procedió a realizar actuaciones tendentes al esclarecimiento de
los hechos.
La Política de Privacidad de la página web de la reclamada informa de que la
propietaria de la página tiene su sede en Portugal. Por tal razón, en fecha 19/07/2018
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/8
la Inspección de Datos de la AEPD solicita la colaboración de la Comissão Nacional
de Protecção de Dados informándole de que la titular de la dirección electrónica
***EMAIL.1 recibe comunicaciones electrónicas, remitidas desde youzz.net, en las que
se promocionan los productos o servicios de WOM INTERNATIONAL, S.A.
Las actuaciones de investigación practicadas fueron las siguientes:
1. La Ley 34/2002 resulta de aplicación a los prestadores de servicios de la
sociedad de la información establecidos en otro Estado miembro de la Unión Europea
o del Espacio Económico Europeo cuando el destinatario de los servicios radique en
España y los servicios afecten a la licitud de las comunicaciones comerciales remitidas
por correo electrónico u otro medio de comunicación electrónica equivalente no
solicitadas.
2. De acuerdo con la citada norma no se pueden remitir comunicaciones
comerciales a través de medios electrónicos, tales como: un correo electrónico o un
SMS, dirigidas a la promoción directa o indirecta de los bienes o servicios de una
empresa, organización o persona que realice una actividad comercial, industrial,
artesanal o profesional, que previamente no hayan sido solicitadas o autorizadas
expresamente por el destinatario.
Por tanto no se puede enviar publicidad por medios electrónicos a personas o
empresas que no hayan consentido previa y expresamente el envío, aunque sus datos
figuren en fuentes de acceso público o se encuentren publicados en Internet.
3. Para que el consentimiento prestado por el destinatario sea válido es
necesario que, cuando se solicite su consentimiento, se le informe de los sectores de
actividad de los que puede recibir publicidad y que aquél manifieste su aceptación a la
recepción de comunicaciones comerciales por medios electrónicos.
4. Se deben habilitar procedimientos sencillos y gratuitos que permitan a los
destinatarios revocar en cualquier momento el consentimiento prestado para la
recepción de comunicaciones comerciales con la simple notificación de su voluntad al
remitente. Además, se deberá facilitar información accesible por medios electrónicos
sobre dichos procedimientos.
Cuando la publicidad se remita por correo electrónico se deberá incluir
obligatoriamente en éste una dirección de correo electrónico u otra dirección
electrónica válida donde el destinatario pueda ejercitar el derecho descrito en el
párrafo anterior.
5. No obstante, está permitido enviar comunicaciones comerciales a los
destinatarios con los que exista una relación contractual previa, en cuyo caso se
puede enviar publicidad sobre productos o servicios de la propia empresa similares a
los contratados por el cliente, siempre que la comunicación cuente con los siguientes
elementos:
- Los datos de contacto del destinatario se hayan obtenido de forma lícita.
- La publicidad se refiera a productos o servicios de la propia empresa que sean
similares a los que inicialmente fueron objeto de contratación con el cliente.
- Se ofrezca al destinatario la posibilidad de oponerse al tratamiento de sus
datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/8
el momento de recogida de los datos como en cada una de las comunicaciones
comerciales que le dirija.
- Cuando la publicidad se remita por correo electrónico este incluya
obligatoriamente una dirección de correo electrónico u otra dirección electrónica válida
donde el destinatario pueda ejercitar el derecho descrito en el párrafo anterior.
6. El envío de comunicaciones comerciales que no reúnan los requisitos
indicados puede ser constitutivo de una infracción de la Ley 34/2002, de 11 de julio, de
Servicios de la Sociedad de la Información y de Comercio Electrónico.
Finalmente, se ha solicitado su colaboración para que inste a la entidad
denunciada a que cese la remisión de correos publicitarios a la dirección electrónica
***EMAIL.1 y que facilite cuanta información pueda aportar en relación con lo alegado
por el denunciante.
Hasta la fecha no se ha recibido respuesta por parte de Comissão Nacional de
Protecção de Dados>>
Por la Inspección se e accede a la página web de la reclamada y se comprueba
que incorpora en su Política de Privacidad la siguiente información: El usuario autoriza
expresamente el uso de sus datos personales para recibir comunicaciones
electrónicas con fines de marketing y publicidad. El usuario tiene derecho a acceder a
la información sobre sus datos personales y puede actualizarlos, corregirlos si son
inexactos y cancelarlos. A tal fin puede acceder al área reservada a los usuarios o
enviar un email a la dirección miembros.espana@youz.net solicitando la acción
deseada.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes de investigación y correctivos que el artículo 58 del
Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante
RGPD) otorga a cada autoridad de control, y según lo dispuesto en el artículo 47 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en lo sucesivo LOPDGDD), es competente para
resolver estas actuaciones de investigación la Directora de la Agencia Española de
Protección de Datos.
II
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/8
El artículo 6 del RGPD establece en el punto 1 que ?El consentimiento sólo será
lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos
personales para uno o varios fines específicos
(?)?.
El artículo 7.3 del RGPD, bajo la rúbrica ?Condiciones para el consentimiento?,
indica: ?3. El interesado tendrá derecho a revocar su consentimiento en cualquier
momento. La retirada del consentimiento no afectará a la licitud del tratamiento
basada en el consentimiento previo a su retirada. Antes de dar su consentimiento el
interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo?.
La Ley 34/2002, de 11/07/2002, de Servicios de la Sociedad de la Información y
de Comercio Electrónico (LSSI) regula -entre otras materias- el régimen jurídico de las
?comunicaciones comerciales?. El Anexo de la citada Ley, apartado f), define las
comunicaciones comerciales en los siguientes términos:
?toda forma de comunicación dirigida a la promoción, directa o indirecta, de la
imagen o de los bienes o servicios de una empresa, organización o persona que
realice una actividad comercial, industrial, artesanal o profesional.
A efectos de esta Ley, no tendrán la consideración de comunicación comercial
los datos que permitan acceder directamente a la actividad de una persona, empresa
u organización, tales como el nombre de dominio o la dirección de correo electrónico,
ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca
cuando sean elaboradas por un tercero y sin contraprestación económica
El Título III de la LSSI lleva por rúbrica ?Comunicaciones comerciales por vía
electrónica? (artículos 19 a 22). El artículo 21, ?Prohibición de comunicaciones
comerciales realizadas a través de correo electrónico o medios de comunicación
electrónica equivalentes?, indica:
?1. Queda prohibido el envío de comunicaciones publicitarias o promocionales
por correo electrónico u otro medio de comunicación electrónica equivalente que
previamente no hubieran sido solicitadas o expresamente autorizadas por los
destinatarios de las mismas.
2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una
relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita
los datos de contacto del destinatario y los empleara para el envío de comunicaciones
comerciales referentes a productos o servicios de su propia empresa que sean
similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de
oponerse al tratamiento de sus datos con fines promocionales mediante un
procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como
en cada una de las comunicaciones comerciales que le dirija.
Cuando las comunicaciones hubieran sido remitidas por correo electrónico,
dicho medio deberá consistir necesariamente en la inclusión de una dirección de
correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este
derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/8
dirección.?
El artículo 22 de la LSSI, ?Derechos de los destinatarios de los servicios?,
dispone:
?1. El destinatario podrá revocar en cualquier momento el consentimiento
prestado a la recepción de comunicaciones comerciales con la simple notificación de
su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos
sencillos y gratuitos para que los destinatarios de servicios puedan revocar el
consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido
remitidas por correo electrónico dicho medio deberá consistir necesariamente en la
inclusión de una dirección de correo electrónico u otra dirección electrónica válida
donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones
que no incluyan dicha dirección.
Asimismo, deberán facilitar información accesible por medios electrónicos sobre
dichos procedimientos. (?)?
El artículo 38.4 de la LSSI tipifica como infraccione leves (apartados d y h,
respectivamente) la vulneración de los artículos 21 y 22. El plazo de prescripción de
las infracciones leves (artículo 45 de la LSSI) es de seis meses.
III
La denunciada tiene su sede en Portugal, Estado miembro de la U.E.
El RGPD prevé que cada autoridad de control será competente para
desempeñar en el territorio de su Estado miembro las funciones que se le asignen y
ejercer los poderes que se le confieran, de conformidad con el presente Reglamento
(artículo 55)
El artículo 56 del RGPD se ocupa, en particular, de la ?Competencia de la
autoridad de control principal? y dispone:
?1. Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del
establecimiento principal o del único establecimiento del responsable o del encargado
del tratamiento será competente para actuar como autoridad de control principal para
el tratamiento transfronterizo realizado por parte de dicho responsable o encargado
con arreglo al procedimiento establecido en el artículo 60.
2. No obstante lo dispuesto en el apartado 1, cada autoridad de control será
competente para tratar una reclamación que le sea presentada o una posible
infracción del presente Reglamento, en caso de que se refiera únicamente a un
establecimiento situado en su Estado miembro o únicamente afecte de manera
sustancial a interesados en su Estado miembro.
3. En los casos a que se refiere el apartado 2 del presente artículo, la autoridad
de control informará sin dilación al respecto a la autoridad de control principal. En el
plazo de tres semanas después de haber sido informada, la autoridad de control
principal decidirá si tratará o no el caso de conformidad con el procedimiento
establecido en el artículo 60, teniendo presente si existe un establecimiento del
responsable o encargado del tratamiento en el Estado miembro de la autoridad de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/8
control que le haya informado.
4. En caso de que la autoridad de control principal decida tratar el caso, se
aplicará el procedimiento establecido en el artículo 60. La autoridad de control que
haya informado a la autoridad de control principal podrá presentarle un proyecto de
decisión. La autoridad de control principal tendrá en cuenta en la mayor medida
posible dicho proyecto al preparar el proyecto de decisión a que se refiere el artículo
60, apartado 3.
5. En caso de que la autoridad de control principal decida no tratar el caso, la
autoridad de control que le haya informado lo tratará con arreglo a los artículos 61 y
62.
6. La autoridad de control principal será el único interlocutor del responsable o
del encargado en relación con el tratamiento transfronterizo realizado por dicho
responsable o encargado.?
El artículo 61 del RGPD regula la ?Asistencia mutua? y señala:
?1. Las autoridades de control se facilitarán información útil y se prestarán
asistencia mutua a fin de aplicar el presente Reglamento de manera coherente, y
tomarán medidas para asegurar una efectiva cooperación entre ellas. La asistencia
mutua abarcará, en particular, las solicitudes de información y las medidas de control,
como las solicitudes para llevar a cabo autorizaciones y consultas previas,
inspecciones e investigaciones.
2. Cada autoridad de control adoptará todas las medidas oportunas requeridas
para responder a una solicitud de otra autoridad de control sin dilación indebida y a
más tardar en el plazo de un mes a partir de la solicitud. Dichas medidas podrán
incluir, en particular, la transmisión de información pertinente sobre el desarrollo de
una investigación.
3. Las solicitudes de asistencia deberán contener toda la información necesaria,
entre otras cosas respecto de la finalidad y los motivos de la solicitud. La información
que se intercambie se utilizará únicamente para el fin para el que haya sido solicitada.
4. La autoridad de control requerida no podrá negarse a responder a una
solicitud, salvo si:
a) no es competente en relación con el objeto de la solicitud o con las medidas
cuya ejecución se solicita, o
b) el hecho de responder a la solicitud infringiría el presente Reglamento o el
Derecho de la Unión o de los Estados miembros que se aplique a la autoridad de
control a la que se dirigió la solicitud.
5. La autoridad de control requerida informará a la autoridad de control
requirente de los resultados obtenidos o, en su caso, de los progresos registrados o
de las medidas adoptadas para responder a su solicitud. La autoridad de control
requerida explicará los motivos de su negativa a responder a una solicitud al amparo
del apartado 4.
6. Como norma general, las autoridades de control requeridas facilitarán la
información solicitada por otras autoridades de control por medios electrónicos,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/8
utilizando un formato normalizado.
7. Las autoridades de control requeridas no cobrarán tasa alguna por las
medidas adoptadas a raíz de una solicitud de asistencia mutua. Las autoridades de
control podrán convenir normas de indemnización recíproca por gastos específicos
derivados de la prestación de asistencia mutua en circunstancias excepcionales.
8. Cuando una autoridad de control no facilite la información mencionada en el
apartado 5 del presente artículo en el plazo de un mes a partir de la recepción de la
solicitud de otra autoridad de control, la autoridad de control requirente podrá adoptar
una medida provisional en el territorio de su Estado miembro de conformidad con lo
dispuesto en el artículo 55, apartado 1. En ese caso, se supondrá que existe la
necesidad urgente contemplada en el artículo 66, apartado 1, que exige una decisión
urgente y vinculante del Comité en virtud del artículo 66, apartado 2.
9. La Comisión podrá, mediante actos de ejecución, especificar el formato y los
procedimientos de asistencia mutua contemplados en el presente artículo, así como
las modalidades del intercambio de información por medios electrónicos entre las
autoridades de control y entre las autoridades de control y el Comité, en especial el
formato normalizado mencionado en el apartado 6 del presente artículo. Dichos actos
de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el
artículo 93, apartado 2.? (El subrayado es de la AEPD)
IV
En relación con la reclamación que nos ocupa esta Agencia se dirigió a la
autoridad de control portuguesa -toda vez que es en Portugal donde la reclamada
tiene su establecimiento- y le solicitó determinada información.
En fecha 19/07/2018 se firma por la Inspección de Datos de la AEPD el escrito
remitido a la autoridad portuguesa (Comissão Nacional de Protecção de Dados). A día
de hoy no se ha recibido respuesta.
Paralelamente se ha de indicar que, conforme a lo prevenido en la normativa
española -en particular, por lo que se refiere al presente asunto, la LSSI-, en la
hipótesis de que la conducta sobre la que versa la reclamación entrañara una
infracción de esa norma ésta sería constitutiva de una infracción leve (artículo 38.4)
cuyo plazo de prescripción es de seis meses (artículo 45).
Recordemos que la única comunicación comercial que la reclamante acredita
haber recibido de la reclamada con posterioridad a la fecha en la que, supuestamente,
había revocado el consentimiento para el tratamiento de sus datos por la reclamada,
es de fecha 13/03/2018, de modo que en el supuesto de que los hechos hubieran sido
constitutivos de una infracción de la LSSI (necesariamente de carácter leve, a tenor de
las circunstancias que concurren) tal infracción estaría prescrita desde el 13/10/2018
Así pues, habida cuenta del tiempo transcurrido desde que esta Agencia se
dirigió a la autoridad portuguesa de protección de datos (más de diez meses) sin que
se haya obtenido respuesta, la infracción en la que pudiera haber incurrido la
reclamada habría prescrito por el transcurso del plazo de seis meses que fija el
artículo 45 LSSI.
Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia
Española de Protección de Datos,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/8
SE ACUERDA:
1. PROCEDER AL ARCHIVO de las presentes actuaciones.
2. NOTIFICAR la presente resolución a D.ª A.A.A..
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la
presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo
preceptuado por el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas, y de conformidad con lo
establecido en los arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
LIBROS Y CURSOS RELACIONADOS
Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)
12.75€
6.38€