Resolución de la Agencia Española de Protección de Datos E-08358-2021 de 18 de agosto de 2021
Resoluciones
Resolución de la Agencia ...to de 2021

Última revisión

Resolución de la Agencia Española de Protección de Datos E-08358-2021 de 18 de agosto de 2021

Tiempo de lectura: 16 min

Relacionados:

Órgano: Agencia Española de Protección de Datos

Fecha: 18/08/2021

Num. Resolución: E-08358-2021

Tiempo de lectura: 16 min


Cuestión

Sector:

1 / 7

Procedimiento Nº: E/08358/2021

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES

De las actuaciones practicadas por la Agencia Española de Protección de Datos y

teniendo como base los siguientes

HECHOS

PRIMERO : Con fecha 07/07/2020 tuvo entrada en esta Agencia...

Contestacion

1/7

? Procedimiento Nº: E/08358/2021

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES

De las actuaciones practicadas por la Agencia Española de Protección de Datos y

teniendo como base los siguientes

HECHOS

PRIMERO: Con fecha 07/07/2020 tuvo entrada en esta Agencia Española de

Protección de Datos una reclamación dirigida contra ESFERA CAPITAL GESTIÓN

SGIIC, S.A.U. (en Liquidación), con CIF A04826863 (en adelante, ESFERA CAPITAL

GESTIÓN o entidad reclamada). Los motivos en que se basa la reclamación son los

siguientes:

?1. Al tratarse de una entidad regulada por la legislación del Mercado de Valores, debería

disponer de un Delegado de Protección de Datos. Esta figura ya no existe en la Entidad.

2. No se ha llevado a cabo una Evaluación de impacto relativa a la protección de datos.

3. No se dispone de un Código de Conducta conforme a lo dispuesto en el artículo 40 del

Reglamento (UE) 2016/679.

4. [?]? (En este punto el reclamante realiza una denuncia acerca de la presunta

comunicación indebida de sus datos personales a terceros).

ESFERA CAPITAL GESTION SGIIC S.A.U. forma parte de un Grupo Empresarial, formado

asimismo por ESFERA CAPITAL A.V. y VISUAL CHART GROUP S.L.?.

Con la reclamación, únicamente aporta un correo electrónico para documentar la

comunicación indebida de datos a que ser refiere en el punto 4 de su reclamación.

El reclamante solicita que se mantenga la confidencialidad de las reclamaciones ?por

miedo a represalias de la empresa?.

SEGUNDO: Con carácter previo a la admisión a trámite de esta reclamación, se

trasladó al reclamado el día 12/08/2020, de conformidad con lo establecido en el

artículo 65.4 la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos

Personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD). En este

trámite de traslado se solicitó a la reclamada que aportase, entre otra, la información

y/o documentación siguiente:

- Si se ha designado DPD y se ha comunicado a la Agencia española de protección de

datos.

- Copia de la Evaluación de impacto realizada o, en su caso, los motivos por los que

no se ha realizado.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/7

El día 07/09/2020, tuvo entrada en la Agencia de Protección de Datos un escrito de

respuesta, presentado por LIBERA DIGITAL CONSULTORÍA TECNOLÓGICA, S.L. (en

lo sucesivo LIBERA DIGITAL) en representación de la entidad reclamada.

En este escrito se manifiesta que la reclamada ha decidido prescindir de la persona

que se ocupaba de la gestión de datos personales y externalizar la función, que ha

sido encomendada a LIBERA DIGITAL con el encargo de evaluar la aplicación de la

normativa y la seguridad de los datos.

Sobre la carencia de delegado de protección de datos indica que la empresa, por sus

características no se identifica con ninguno de los casos regulados en el artículo 34 de

la LOPDGDD. Se trata, según indica, de una pequeña empresa que ha creado un

programa de control de finanzas con información de carácter general y a pequeña

escala. Y termina señalando que, si resulta necesario, registrará un DPD.

Para mejorar la gestión de los datos personales, se comprobará cada dos meses por

la entidad externa, se ha elaborado un informe sobre el cumplimiento de la normativa y

se han tomado medidas para mejoras las deficiencias, así como la seguridad de los

datos.

Finalmente, señala que, como muestra de su compromiso, acompaña un informe

sobre la estructura técnica de la empresa, una evaluación de impacto y un informe

sobre los tratamientos de datos que realiza. Se concluye que no existen riesgos en los

recursos utilizados.

En el modelo de solicitud de ejercicio de derechos aportado, al indicar los datos de

contacto del DPD, se reseña el domicilio de LIBERA DIGITAL.

Adjunta la siguiente documentación:

1. Protocolo de actuación para el ejercicio de los derechos recogidos en los artículos

15 a 22 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos,

en adelante RGPD); y modelo de solicitud de ejercicio de derechos.

2. Documento denominado ?Análisis de riesgos?.

3. Documento denominado ?Informe de cumplimiento normativo?.

4. Documento denominado ?Estructura técnica y organizativa de la empresa?.

5. Documento denominado ?Modelo de Evaluación de Impacto?.

6. Documento denominado ?Tratamiento de datos básicos?.

TERCERO: La reclamación fue admitida a trámite mediante resolución de la Directora

de la Agencia Española de Protección de Datos de fecha 03/11/2020.

CUARTO: Con fecha 03/08/2021, por la Subdirección General de Inspección de Datos

se accede a la información relativa a la reclamada que consta en el RMC. Se

comprueba que la entidad se encuentra ?en liquidación?. Como objeto social se indica:

?El establecido en el Art. 40 de la Ley 35/2003, de 4 de noviembre, de Instituciones de

Inversión Colectiva?.

QUINTO: Con fecha 03/08/2021, por la Subdirección General de Inspección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/7

se accede al Registro de Delegados de Protección de Datos de la AEPD y se

comprueba que la entidad reclamada no ha notificado ninguna designación de DPD.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes de investigación y correctivos que el artículo 58 del

Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante

RGPD) otorga a cada autoridad de control, y según lo dispuesto en el artículo 47 de la

LOPDGDD, es competente para resolver estas actuaciones de investigación la

Directora de la Agencia Española de Protección de Datos.

II

En el presente caso, la reclamación formulada cuestiona la actuación de la entidad

reclamada en relación con las cuatro cuestiones siguientes:

. La falta de designación de un delegado de protección de datos.

. No haber llevado a cabo una evaluación de impacto.

. No disponer de un código de conducta.

. Una presunta comunicación a terceros de datos personales relativos al reclamante.

Es preciso destacar al respecto que el reclamante únicamente aportó documentación

en relación con el asunto mencionado en el punto 4 anterior.

Siendo así, debe rechazarse la reclamación en relación con el hecho de que la

reclamada no disponga de una evaluación de impacto relativa a la protección de datos.

Con carácter general, no cabe admitir reclamaciones genéricas que no aportan indicio

alguno de infracción.

En cuanto a la disposición de un código de conducta, debe precisarse que el artículo

40 del RGPD no configura esta cuestión como una obligación de los responsables y

encargados del tratamiento, ni el incumplimiento de lo dispuesto en este artículo se

tipifica como infracción en el artículo 83 del RGPD.

En relación con la última cuestión señalada, sobre la presunta comunicación indebida

de los datos personales a que hace referencia el reclamante en su escrito, no resulta

posible valorar la existencia o no de esa posible comunicación ilícita de los datos,

habida cuenta de la confidencialidad solicitada por el reclamante respecto de su

reclamación. La imposibilidad de comunicar al reclamado la identidad de la persona y

de los hechos alegados impediría al responsable presentar las alegaciones y utilizar

los medios de defensa que considere oportunos. El derecho a la presunción de

inocencia, reconocido en el artículo 24 de la Constitución Española, debe regir sin

excepciones en el ordenamiento sancionador y ha de ser respetada en la imposición

de cualesquiera sanciones, pues el ejercicio del ius puniendi en sus diversas

manifestaciones está condicionado al juego de la prueba y a un procedimiento

contradictorio en el que puedan defenderse las propias posiciones.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/7

En consecuencia, procede analizar únicamente la cuestión relativa a la obligación de

la reclamada de designar un delegado de protección de datos.

III

El artículo 37 del RGPD, cuya rúbrica lleva por título ?Designación del delegado de

protección de datos? dispone lo siguiente:

?1. El responsable y el encargado del tratamiento designarán un delegado de protección de

datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que

actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de

tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación

habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a

gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales

relativos a condenas e infracciones penales a que se refiere el artículo 10.

2. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre

que sea fácilmente accesible desde cada establecimiento.

3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo

público, se podrá designar un único delegado de protección de datos para varias de estas

autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del

tratamiento o las asociaciones y otros organismos que representen a categorías de

responsables o encargados podrán designar un delegado de protección de datos o deberán

designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de

protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que

representen a responsables o encargados.

5. El delegado de protección de datos será designado atendiendo a sus cualidades

profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en

materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en

el artículo 39.

6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del

encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de

servicios.

7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado

de protección de datos y los comunicarán a la autoridad de control?.

Y, en virtud de la habilitación que confiere el apartado 4 del precepto anterior, el

artículo 34 de la LOPDGDD determina, en relación con la designación de un delegado

de protección de datos, lo siguiente:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/7

?1. Los responsables y encargados del tratamiento deberán designar un delegado de

protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE)

2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

[?]

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

[?]

2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán

designar de manera voluntaria un delegado de protección de datos, que quedará sometido al

régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.

3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la

Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de

protección de datos, las designaciones, nombramientos y ceses de los delegados de

protección de datos tanto en los supuestos en que se encuentren obligadas a su designación

como en el caso en que sea voluntaria.

4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección

de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de

delegados de protección de datos que será accesible por medios electrónicos.

5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del

tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre

otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos

tratados o de los riesgos para los derechos o libertades de los interesados?.

Los citados preceptos establecen la obligación de los responsables y encargados del

tratamiento, en determinados supuestos, de designar la figura del delegado de

protección de datos. En los supuestos que atañen a un grupo empresarial, se permite

la posibilidad de nombrar un único delegado de protección de datos, siempre que sea

accesible desde cada establecimiento. Esta figura deberá reunir los requisitos que se

determinan en el propio artículo 37.5 del RGPD y 35 de la LOPDGDD, ostentará la

posición que se recoge en el artículo 38 del RGPD y 36 de la LOPDGDD y

desempeñará las funciones establecidas en el artículo 39 del RGPD.

Los supuestos obligatorios serán aquellos enumerados en el artículo 37.1.a), b) y c) y

cuando así lo exija el Derecho de la Unión o de los Estados Miembros. En este

sentido, la LOPDGDD ha establecido, en su artículo 34, un listado de entidades que,

actuando como responsables o encargados, estarán obligadas a designar un delegado

de protección de datos.

Por lo que se refiere al caso concreto objeto de este procedimiento, es necesario

señalar, con carácter previo, que el objeto social y la actividad desempeñada por la

mercantil no se corresponde con la de una empresa de servicios de inversión. Así,

según consta en los datos obrantes en el Registro Mercantil, el objeto social de la

mercantil es el establecido en el artículo 40 de la Ley 35/2003, de 4 de noviembre, de

Instituciones de Inversión Colectiva.

A su vez, en la Memoria incluida en las últimas cuentas anuales presentadas por la

empresa, las relativas al ejercicio 2019, se indica expresamente que:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/7

?La Sociedad tiene como objeto social las siguientes actividades:

. La administración, representación, gestión de las inversiones y gestión de las suscripciones y

reembolsos de los fondos y sociedades de inversión.

. La gestión discrecional e individualizada de carteras de inversiones, incluidas las

pertenecientes a fondos de pensiones, en virtud de un mandato otorgado por los inversores o

persona legalmente autorizada, siempre que tales carteras incluyan uno o varios instrumentos

previstos en el artículo 2 de la Ley 24/1988 de 28 de julio del Mercado de Valores.

No obstante, lo anterior, las sociedades gestoras podrán ser autorizadas además para realizar

las siguientes actividades complementarias:

. Asesoramiento sobre las inversiones en uno o en varios de los instrumentos previstos en el

art.2 de la Ley 24/1988 de 28 de julio del Mercado de Valores.

. Custodia y administración de las participaciones de los fondos de inversión y en su caso, de

las acciones de las sociedades de inversión de los FCRE y FESE

. Recepción y transmisión de órdenes de clientes en relación con uno o varios instrumentos

financieros.

El objeto social de la Sociedad es el establecido en el art.40 de la Ley 35/2003 de 4 de

noviembre de IIC. Su programa de actividades aprobado por la CNMV incluye la gestión de

Instituciones de Inversión Colectiva armonizadas y no armonizadas, así como la

Comercialización de Instituciones de Inversión Colectiva armonizadas y no armonizadas?.

Esta descripción de las actividades desarrolladas por la reclamada coincide

literalmente con lo establecido en el artículo 40 de la Ley 35/2003, de 4 de noviembre,

de Instituciones de Inversión Colectiva, apartados 1 y 2. Por tanto, a pesar de lo

manifestado por el reclamado en su escrito de 07/09/2020, la entidad reclamada no

ostenta la condición de empresa de servicio de inversión.

Así, teniendo en cuenta que las Sociedades de Gestión de Inversión Colectiva,

categoría en la que se encuadra la mercantil reclamada, no forman parte de la

definición de empresas de servicios de inversión a tenor de lo dispuesto en el artículo

143.1 del Texto Refundido del Mercado de Valores, aprobado por Real Decreto

Legislativo 4/2015, de 23 de octubre, no se considera que la mercantil ESFERA

CAPITAL GESTIÓN esté obligada a disponer de la figura del delegado de protección

de datos, al no serle de aplicación lo dispuesto en el artículo 34.1.h) de la LOPDGDD

Se tiene en cuenta, además, que la reclamada se encuentra actualmente ?en

liquidación?, según consta en la información disponible en el Registro Mercantil

Central.

IV

Por lo tanto, se ha acreditado que la actuación de ESFERA CAPITAL GESTIÓN, como

entidad responsable del tratamiento, ha sido acorde con la normativa sobre protección

de datos personales analizada en los párrafos anteriores.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/7

Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia Española de

Protección de Datos, SE ACUERDA:

PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.

SEGUNDO: NOTIFICAR la presente resolución al reclamante y a la entidad

reclamada.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por

el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, y de conformidad con lo establecido en los

arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán

interponer, potestativamente, recurso de reposición ante la Directora de la Agencia

Española de Protección de Datos en el plazo de un mes a contar desde el día

siguiente a la notificación de esta resolución o directamente recurso contencioso

administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,

con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición

adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción

Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente

a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

940-0419

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

LIBROS Y CURSOS RELACIONADOS

Tratado de protección de datos personales
Disponible

Tratado de protección de datos personales

José Luis Domínguez Álvarez

29.75€

28.26€

+ Información

Vademecum | PROTECCIÓN DE DATOS (DESCATALOGADO)
Disponible

Vademecum | PROTECCIÓN DE DATOS (DESCATALOGADO)

Editorial Colex, S.L.

55.00€

16.50€

+ Información

Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)
Disponible

Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)

Dpto. Documentación Iberley

12.75€

6.38€

+ Información

Protección de datos. Abogados y procuradores. Paso a paso
Disponible

Protección de datos. Abogados y procuradores. Paso a paso

Dpto. Documentación Iberley

12.75€

12.11€

+ Información

Reglamento General de Protección de Datos (RGPD)
Disponible

Reglamento General de Protección de Datos (RGPD)

Editorial Colex, S.L.

3.65€

3.47€

+ Información