Última revisión
Resolución de la Agencia Española de Protección de Datos E-08358-2021 de 18 de agosto de 2021
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 18/08/2021
Num. Resolución: E-08358-2021
Cuestión
Sector:1 / 7
Procedimiento Nº: E/08358/2021
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos y
teniendo como base los siguientes
HECHOS
PRIMERO : Con fecha 07/07/2020 tuvo entrada en esta Agencia...
Contestacion
1/7
? Procedimiento Nº: E/08358/2021
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos y
teniendo como base los siguientes
HECHOS
PRIMERO: Con fecha 07/07/2020 tuvo entrada en esta Agencia Española de
Protección de Datos una reclamación dirigida contra ESFERA CAPITAL GESTIÓN
SGIIC, S.A.U. (en Liquidación), con CIF A04826863 (en adelante, ESFERA CAPITAL
GESTIÓN o entidad reclamada). Los motivos en que se basa la reclamación son los
siguientes:
?1. Al tratarse de una entidad regulada por la legislación del Mercado de Valores, debería
disponer de un Delegado de Protección de Datos. Esta figura ya no existe en la Entidad.
2. No se ha llevado a cabo una Evaluación de impacto relativa a la protección de datos.
3. No se dispone de un Código de Conducta conforme a lo dispuesto en el artículo 40 del
Reglamento (UE) 2016/679.
4. [?]? (En este punto el reclamante realiza una denuncia acerca de la presunta
comunicación indebida de sus datos personales a terceros).
ESFERA CAPITAL GESTION SGIIC S.A.U. forma parte de un Grupo Empresarial, formado
asimismo por ESFERA CAPITAL A.V. y VISUAL CHART GROUP S.L.?.
Con la reclamación, únicamente aporta un correo electrónico para documentar la
comunicación indebida de datos a que ser refiere en el punto 4 de su reclamación.
El reclamante solicita que se mantenga la confidencialidad de las reclamaciones ?por
miedo a represalias de la empresa?.
SEGUNDO: Con carácter previo a la admisión a trámite de esta reclamación, se
trasladó al reclamado el día 12/08/2020, de conformidad con lo establecido en el
artículo 65.4 la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD). En este
trámite de traslado se solicitó a la reclamada que aportase, entre otra, la información
y/o documentación siguiente:
- Si se ha designado DPD y se ha comunicado a la Agencia española de protección de
datos.
- Copia de la Evaluación de impacto realizada o, en su caso, los motivos por los que
no se ha realizado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/7
El día 07/09/2020, tuvo entrada en la Agencia de Protección de Datos un escrito de
respuesta, presentado por LIBERA DIGITAL CONSULTORÍA TECNOLÓGICA, S.L. (en
lo sucesivo LIBERA DIGITAL) en representación de la entidad reclamada.
En este escrito se manifiesta que la reclamada ha decidido prescindir de la persona
que se ocupaba de la gestión de datos personales y externalizar la función, que ha
sido encomendada a LIBERA DIGITAL con el encargo de evaluar la aplicación de la
normativa y la seguridad de los datos.
Sobre la carencia de delegado de protección de datos indica que la empresa, por sus
características no se identifica con ninguno de los casos regulados en el artículo 34 de
la LOPDGDD. Se trata, según indica, de una pequeña empresa que ha creado un
programa de control de finanzas con información de carácter general y a pequeña
escala. Y termina señalando que, si resulta necesario, registrará un DPD.
Para mejorar la gestión de los datos personales, se comprobará cada dos meses por
la entidad externa, se ha elaborado un informe sobre el cumplimiento de la normativa y
se han tomado medidas para mejoras las deficiencias, así como la seguridad de los
datos.
Finalmente, señala que, como muestra de su compromiso, acompaña un informe
sobre la estructura técnica de la empresa, una evaluación de impacto y un informe
sobre los tratamientos de datos que realiza. Se concluye que no existen riesgos en los
recursos utilizados.
En el modelo de solicitud de ejercicio de derechos aportado, al indicar los datos de
contacto del DPD, se reseña el domicilio de LIBERA DIGITAL.
Adjunta la siguiente documentación:
1. Protocolo de actuación para el ejercicio de los derechos recogidos en los artículos
15 a 22 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos,
en adelante RGPD); y modelo de solicitud de ejercicio de derechos.
2. Documento denominado ?Análisis de riesgos?.
3. Documento denominado ?Informe de cumplimiento normativo?.
4. Documento denominado ?Estructura técnica y organizativa de la empresa?.
5. Documento denominado ?Modelo de Evaluación de Impacto?.
6. Documento denominado ?Tratamiento de datos básicos?.
TERCERO: La reclamación fue admitida a trámite mediante resolución de la Directora
de la Agencia Española de Protección de Datos de fecha 03/11/2020.
CUARTO: Con fecha 03/08/2021, por la Subdirección General de Inspección de Datos
se accede a la información relativa a la reclamada que consta en el RMC. Se
comprueba que la entidad se encuentra ?en liquidación?. Como objeto social se indica:
?El establecido en el Art. 40 de la Ley 35/2003, de 4 de noviembre, de Instituciones de
Inversión Colectiva?.
QUINTO: Con fecha 03/08/2021, por la Subdirección General de Inspección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/7
se accede al Registro de Delegados de Protección de Datos de la AEPD y se
comprueba que la entidad reclamada no ha notificado ninguna designación de DPD.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes de investigación y correctivos que el artículo 58 del
Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante
RGPD) otorga a cada autoridad de control, y según lo dispuesto en el artículo 47 de la
LOPDGDD, es competente para resolver estas actuaciones de investigación la
Directora de la Agencia Española de Protección de Datos.
II
En el presente caso, la reclamación formulada cuestiona la actuación de la entidad
reclamada en relación con las cuatro cuestiones siguientes:
. La falta de designación de un delegado de protección de datos.
. No haber llevado a cabo una evaluación de impacto.
. No disponer de un código de conducta.
. Una presunta comunicación a terceros de datos personales relativos al reclamante.
Es preciso destacar al respecto que el reclamante únicamente aportó documentación
en relación con el asunto mencionado en el punto 4 anterior.
Siendo así, debe rechazarse la reclamación en relación con el hecho de que la
reclamada no disponga de una evaluación de impacto relativa a la protección de datos.
Con carácter general, no cabe admitir reclamaciones genéricas que no aportan indicio
alguno de infracción.
En cuanto a la disposición de un código de conducta, debe precisarse que el artículo
40 del RGPD no configura esta cuestión como una obligación de los responsables y
encargados del tratamiento, ni el incumplimiento de lo dispuesto en este artículo se
tipifica como infracción en el artículo 83 del RGPD.
En relación con la última cuestión señalada, sobre la presunta comunicación indebida
de los datos personales a que hace referencia el reclamante en su escrito, no resulta
posible valorar la existencia o no de esa posible comunicación ilícita de los datos,
habida cuenta de la confidencialidad solicitada por el reclamante respecto de su
reclamación. La imposibilidad de comunicar al reclamado la identidad de la persona y
de los hechos alegados impediría al responsable presentar las alegaciones y utilizar
los medios de defensa que considere oportunos. El derecho a la presunción de
inocencia, reconocido en el artículo 24 de la Constitución Española, debe regir sin
excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición
de cualesquiera sanciones, pues el ejercicio del ius puniendi en sus diversas
manifestaciones está condicionado al juego de la prueba y a un procedimiento
contradictorio en el que puedan defenderse las propias posiciones.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/7
En consecuencia, procede analizar únicamente la cuestión relativa a la obligación de
la reclamada de designar un delegado de protección de datos.
III
El artículo 37 del RGPD, cuya rúbrica lleva por título ?Designación del delegado de
protección de datos? dispone lo siguiente:
?1. El responsable y el encargado del tratamiento designarán un delegado de protección de
datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que
actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de
tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación
habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a
gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales
relativos a condenas e infracciones penales a que se refiere el artículo 10.
2. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre
que sea fácilmente accesible desde cada establecimiento.
3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo
público, se podrá designar un único delegado de protección de datos para varias de estas
autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del
tratamiento o las asociaciones y otros organismos que representen a categorías de
responsables o encargados podrán designar un delegado de protección de datos o deberán
designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de
protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que
representen a responsables o encargados.
5. El delegado de protección de datos será designado atendiendo a sus cualidades
profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en
materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en
el artículo 39.
6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del
encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de
servicios.
7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado
de protección de datos y los comunicarán a la autoridad de control?.
Y, en virtud de la habilitación que confiere el apartado 4 del precepto anterior, el
artículo 34 de la LOPDGDD determina, en relación con la designación de un delegado
de protección de datos, lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/7
?1. Los responsables y encargados del tratamiento deberán designar un delegado de
protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE)
2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
[?]
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
[?]
2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán
designar de manera voluntaria un delegado de protección de datos, que quedará sometido al
régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la
Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de
protección de datos, las designaciones, nombramientos y ceses de los delegados de
protección de datos tanto en los supuestos en que se encuentren obligadas a su designación
como en el caso en que sea voluntaria.
4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección
de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de
delegados de protección de datos que será accesible por medios electrónicos.
5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del
tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre
otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos
tratados o de los riesgos para los derechos o libertades de los interesados?.
Los citados preceptos establecen la obligación de los responsables y encargados del
tratamiento, en determinados supuestos, de designar la figura del delegado de
protección de datos. En los supuestos que atañen a un grupo empresarial, se permite
la posibilidad de nombrar un único delegado de protección de datos, siempre que sea
accesible desde cada establecimiento. Esta figura deberá reunir los requisitos que se
determinan en el propio artículo 37.5 del RGPD y 35 de la LOPDGDD, ostentará la
posición que se recoge en el artículo 38 del RGPD y 36 de la LOPDGDD y
desempeñará las funciones establecidas en el artículo 39 del RGPD.
Los supuestos obligatorios serán aquellos enumerados en el artículo 37.1.a), b) y c) y
cuando así lo exija el Derecho de la Unión o de los Estados Miembros. En este
sentido, la LOPDGDD ha establecido, en su artículo 34, un listado de entidades que,
actuando como responsables o encargados, estarán obligadas a designar un delegado
de protección de datos.
Por lo que se refiere al caso concreto objeto de este procedimiento, es necesario
señalar, con carácter previo, que el objeto social y la actividad desempeñada por la
mercantil no se corresponde con la de una empresa de servicios de inversión. Así,
según consta en los datos obrantes en el Registro Mercantil, el objeto social de la
mercantil es el establecido en el artículo 40 de la Ley 35/2003, de 4 de noviembre, de
Instituciones de Inversión Colectiva.
A su vez, en la Memoria incluida en las últimas cuentas anuales presentadas por la
empresa, las relativas al ejercicio 2019, se indica expresamente que:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/7
?La Sociedad tiene como objeto social las siguientes actividades:
. La administración, representación, gestión de las inversiones y gestión de las suscripciones y
reembolsos de los fondos y sociedades de inversión.
. La gestión discrecional e individualizada de carteras de inversiones, incluidas las
pertenecientes a fondos de pensiones, en virtud de un mandato otorgado por los inversores o
persona legalmente autorizada, siempre que tales carteras incluyan uno o varios instrumentos
previstos en el artículo 2 de la Ley 24/1988 de 28 de julio del Mercado de Valores.
No obstante, lo anterior, las sociedades gestoras podrán ser autorizadas además para realizar
las siguientes actividades complementarias:
. Asesoramiento sobre las inversiones en uno o en varios de los instrumentos previstos en el
art.2 de la Ley 24/1988 de 28 de julio del Mercado de Valores.
. Custodia y administración de las participaciones de los fondos de inversión y en su caso, de
las acciones de las sociedades de inversión de los FCRE y FESE
. Recepción y transmisión de órdenes de clientes en relación con uno o varios instrumentos
financieros.
El objeto social de la Sociedad es el establecido en el art.40 de la Ley 35/2003 de 4 de
noviembre de IIC. Su programa de actividades aprobado por la CNMV incluye la gestión de
Instituciones de Inversión Colectiva armonizadas y no armonizadas, así como la
Comercialización de Instituciones de Inversión Colectiva armonizadas y no armonizadas?.
Esta descripción de las actividades desarrolladas por la reclamada coincide
literalmente con lo establecido en el artículo 40 de la Ley 35/2003, de 4 de noviembre,
de Instituciones de Inversión Colectiva, apartados 1 y 2. Por tanto, a pesar de lo
manifestado por el reclamado en su escrito de 07/09/2020, la entidad reclamada no
ostenta la condición de empresa de servicio de inversión.
Así, teniendo en cuenta que las Sociedades de Gestión de Inversión Colectiva,
categoría en la que se encuadra la mercantil reclamada, no forman parte de la
definición de empresas de servicios de inversión a tenor de lo dispuesto en el artículo
143.1 del Texto Refundido del Mercado de Valores, aprobado por Real Decreto
Legislativo 4/2015, de 23 de octubre, no se considera que la mercantil ESFERA
CAPITAL GESTIÓN esté obligada a disponer de la figura del delegado de protección
de datos, al no serle de aplicación lo dispuesto en el artículo 34.1.h) de la LOPDGDD
Se tiene en cuenta, además, que la reclamada se encuentra actualmente ?en
liquidación?, según consta en la información disponible en el Registro Mercantil
Central.
IV
Por lo tanto, se ha acreditado que la actuación de ESFERA CAPITAL GESTIÓN, como
entidad responsable del tratamiento, ha sido acorde con la normativa sobre protección
de datos personales analizada en los párrafos anteriores.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/7
Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia Española de
Protección de Datos, SE ACUERDA:
PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.
SEGUNDO: NOTIFICAR la presente resolución al reclamante y a la entidad
reclamada.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, y de conformidad con lo establecido en los
arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán
interponer, potestativamente, recurso de reposición ante la Directora de la Agencia
Española de Protección de Datos en el plazo de un mes a contar desde el día
siguiente a la notificación de esta resolución o directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,
con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición
adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción
Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente
a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
940-0419
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
LIBROS Y CURSOS RELACIONADOS
Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)
12.75€
6.38€