Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00016-2022 de 28 de febrero de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 51 min
Órgano: Agencia Española de Protección de Datos
Fecha: 28/02/2023
Num. Resolución: PS-00016-2022
Cuestión
1 / 20Procedimiento Nº: PS/00016/2022
IMI Reference: A60DD 403656 - A61VMA 298021 - Case Register 79805
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes:
ANTECEDENTES
PRIMERO: A.A.A. (en adelante...
Contestacion
1/20
? Procedimiento Nº: PS/00016/2022
IMI Reference: A60DD 403656 - A61VMA 298021 - Case Register 79805
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes:
ANTECEDENTES
PRIMERO: A.A.A. (en adelante, la parte reclamante) interpuso reclamación ante la
autoridad francesa de protección de datos. La reclamación se dirige contra VACACIONES
EDREAMS, S.L., con NIF B61965778 (en adelante, EDREAMS). Los motivos en que basa la
reclamación son los siguientes:
La parte reclamante ha solicitado por e-mail a EDREAMS acceso a la grabación de todos los
intercambios telefónicos mantenidos con la empresa, pero, transcurrido un mes, no ha
recibido ninguna contestación.
Fecha en la que tuvieron lugar los hechos reclamados: 5 de enero de 2021
Junto con la reclamación aporta:
- Captura de correo electrónico enviado por la parte reclamante a las direcciones
customerservice-fr@contact.edreams.com y service.client@edreams.com, de fecha 5 de
enero de 2021, en el que realiza una queja sobre una compra realizada en dólares
canadienses y solicita acceso a todas las conversaciones mantenidas entre la parte
reclamante y el servicio de atención al cliente de EDREAMS los días 14 de agosto de 2020,
26 de octubre de 2020, 17 de noviembre de 2020 y 28 de diciembre de 2020, y aporta los
siguientes datos para su identificación: nombre y apellido, fecha de nacimiento y cuatro
últimos dígitos de su tarjeta de crédito.
SEGUNDO: A través del ?Sistema de Información del Mercado Interior? (en lo sucesivo
Sistema IMI), regulado por el Reglamento (UE) nº 1024/2012, del Parlamento Europeo y del
Consejo, de 25 de octubre de 2012 (Reglamento IMI), cuyo objetivo es favorecer la
cooperación administrativa transfronteriza, la asistencia mutua entre los Estados miembros y
el intercambio de información, se transmitió la citada reclamación el día 21 de mayo 2021 y
se le dio fecha de registro de entrada en la Agencia Española de Protección de Datos
(AEPD) ese mismo día. El traslado de esta reclamación a la AEPD se realiza de
conformidad con lo establecido en el artículo 56 del Reglamento (UE) 2016/679, del
Parlamento Europeo y del Consejo, de 27/04/2016, relativo a la Protección de las Personas
Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de
estos Datos (en lo sucesivo, RGPD), teniendo en cuenta su carácter transfronterizo y que
esta Agencia es competente para actuar como autoridad de control principal, dado que
EDREAMS tiene su sede social y establecimiento único en España.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
2/20
Los tratamientos de datos que se llevan a cabo afectan a interesados en varios Estados
miembros. Según las informaciones incorporadas al Sistema IMI, de conformidad con lo
establecido en el artículo 60 del RGPD, actúa en calidad de ?autoridad de control
interesada?, además de la autoridad de protección de datos de Francia, las autoridades de
Portugal, Italia, Baja Sajonia (Alemania) y Dinamarca. Todas ellas en virtud del artículo
4.22.b) del RGPD, dado que los interesados que residen en el territorio de estas autoridades
de control se ven sustancialmente afectados o es probable que se vean sustancialmente
afectados por el tratamiento objeto del presente procedimiento.
TERCERO: Con fecha 1 de junio de 2021, de conformidad con el artículo 64.3 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales (en adelante, LOPDGDD), se admitió a trámite la reclamación presentada
por la parte reclamante.
CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de
actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en
virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de los
poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General
de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el
Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los
siguientes extremos:
Contestación a requerimiento de información presentada en representación de EDREAMS
con registro de entrada O00007128e2100036021, con entrada en la AEPD el 27 de agosto
de 2021, en la que se aporta, entre otra, la siguiente información:
1. Declaración de que no han recibido ninguna solicitud de la parte reclamante a través del
formulario de privacidad de su página web, por lo que no ha sido tratado por un agente
especializado sino que ha sido tratado por el servicio de atención al cliente.
2. Declaración de que se produjo un error en esta solicitud porque el agente del servicio de
atención al cliente que atendió esta solicitud la cerró de manera manual sin gestionarla de
acuerdo a los procesos internos; estos procesos internos indican que, en estas
solicitudes hay que responder haciendo referencia al formulario de privacidad o escalar el
ejercicio de derecho internamente.
3. Declaración de que han respondido a la parte reclamante a raíz de tener conocimiento de
esta reclamación. Y aportan una captura de un correo electrónico dirigido a la parte
reclamante en francés (y su traducción al español), en el que se indica que se adjuntan
las grabaciones.
4. Respecto a las causas que originaron esta incidencia, declaración de que se produjo
debido a un error humano que se produjo en una situación en la que el servicio de
atención al cliente vio triplicado el número de solicitudes recibidas debido a las
cancelaciones causadas en la agencia de viajes por la COVID-19.
5. Declaración de que se han adoptado las siguientes medidas: enviar un recordatorio en la
newsletter semanal a los agentes de atención al cliente sobre la centralización de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
3/20
atención a derechos de protección de datos en el Formulación de Privacidad para que
sean atendidos por agentes especializados; adelantar la formación en protección de
datos e incluir el caso de esta reclamación dentro de un supuesto práctico en la
formación; informar en una reunión al agente que trató la solicitud y a su gerente sobre lo
ocurrido; e incluir un recordatorio de la existencia del Formulario de Privacidad en el
correo electrónico que se reciben los interesados automáticamente como respuesta a los
correos recibidos en el servicio de atención al cliente.
En fecha 30 de diciembre de 2021, se realiza una búsqueda en el sitio
https://web.archive.org de los datos históricos que aparecían en la Política de privacidad del
sitio web de EDREAMS dirigido al público español (https://www.edreams.es/politica-deprivacidad
/) el día 13 de enero de 2021 y dirigido al público francés (https://www.edreams.fr/
politique-confidentialite/) el día 20 de enero de 2021, obteniéndose la siguiente información:
6. En ambas políticas de privacidad se indica que su última actualización tuvo lugar en junio
de 2019.
7. En ambas políticas de privacidad se indican dos medios para ejercer los derechos: a
través un formulario online, o a través de una dirección postal. Concretamente, en la
política de privacidad en español se indica lo siguiente: ?Para poder ejercer tus derechos,
haz clic aquí o envía tu solicitud por correo postal a la siguiente dirección: Protección de
datos ? Calle Bailén, 67, 08009 Barcelona, España, Unión Europea. En tu solicitud debes
indicar claramente tu identidad, especificando tu nombre completo y la dirección de email
que utilizaste para realizar la compra o crear una cuenta, y los derechos que deseas
ejercer.?
QUINTO: Con fecha 12/01/2022, la Directora de la AEPD adoptó una propuesta de proyecto
de decisión de inicio de procedimiento sancionador. Siguiendo el proceso establecido en el
artículo 60 del RGPD, el 09/02/2022 se transmitió a través del Sistema IMI esta propuesta y
se les hizo saber a las autoridades interesadas que tenían dos semanas desde ese
momento para realizar sus comentarios. Dentro del plazo a tal efecto, las autoridades de
control interesadas realizaron sus comentarios al respecto.
SEXTO: Con fecha 24/05/2022, la Directora de la AEPD adoptó un proyecto de decisión de
inicio de procedimiento sancionador. Siguiendo el proceso establecido en el artículo 60 del
RGPD, el 02/06/2022 se transmitió a través del sistema IMI este proyecto de decisión y se
les hizo saber a las autoridades interesadas que tenían cuatro semanas desde ese
momento para formular objeciones pertinentes y motivadas. Dentro del plazo a tal efecto, las
autoridades de control interesadas no presentaron objeciones pertinentes y motivadas al
respecto, por lo que se considera que todas las autoridades están de acuerdo con dicho
proyecto de decisión y están vinculadas por este, de conformidad con lo dispuesto en el
apartado 6 del artículo 60 del RGPD.
Este proyecto de decisión se notificó a EDREAMS conforme a las normas establecidas en la
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP) el día 25/05/2022, como consta en el
acuse de recibo que obra en el expediente.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
4/20
SÉPTIMO: Con fecha 15/07/2022, la Directora de la Agencia Española de Protección de
Datos acordó iniciar procedimiento sancionador a EDREAMS, con arreglo a lo dispuesto en
los artículos 63 y 64 de la LPACAP, por la presunta infracción del Artículo 15 del RGPD,
tipificada en el Artículo 83.5 del RGPD, en el que se le indica que tiene un plazo de diez días
para presentar alegaciones.
Este acuerdo de inicio, que se notificó a EDREAMS conforme a las normas establecidas en
la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, fue recogido en fecha 18/07/2022, como consta en el acuse de
recibo que obra en el expediente.
OCTAVO: Con fecha 30/07/2022, se recibe en esta Agencia, en tiempo y forma, escrito de
EDREAMS en el que aduce alegaciones al acuerdo de inicio en el que, en síntesis,
manifestaba que:
?PRIMERA. - EJERCICIO DE DERECHOS EN EDREAMS DE ACUERDO CON LA
NORMATIVA.
EDREAMS centraliza la gestión del ejercicio de derechos (incluido el derecho de acceso) a
través de su Formulario de Privacidad. De esta forma, se facilita a los usuarios el ejercicio
de dichos ejercicios, mediante esta herramienta de fácil acceso, enlazada en nuestro Aviso
de Privacidad y gestionada mediante un proceso definido y por un equipo formado y
dedicado a tal efecto.
El Formulario de Privacidad permite a su vez automatizar parte del proceso, con el fin de
proporcionar una mejor y más rápida respuesta.
Inicialmente, el interesado ejerce su derecho mediante el Formulario de Privacidad. Dicha
solicitud está exclusivamente condicionada a que los agentes especializados en la gestión
de éstos derechos puedan confirmar la información y se tengan suficientes garantías de que
la persona dice ser quien es y/o de que la representación de un tercero está suficientemente
acreditada (normalmente la confirmación pasa porque el cliente, que recibe un correo
electrónico de verificación, confirme en su correo electrónico personal registrado en
nuestros sistemas que ha solicitado el correspondiente derecho).
Tras dicha confirmación, se conecta con los departamentos oportunos, para ejecutar las
acciones correspondientes en base al derecho ejercido. Finalmente, una vez las acciones
necesarias han sido realizadas, se procede a dar respuesta al interesado de acuerdo a una
guía interna (en este caso, la guía del derecho de acceso).
Este proceso se realiza de acuerdo con nuestro Aviso de Privacidad y nuestra Política
interna de privacidad (ver Anexo 1 - Índice y sección aplicable de la Política interna de
privacidad), así como de los procedimientos internos; en concreto la Guía interna sobre el
ejercicio del derecho de acceso (ver Anexo 2 - Guía interna sobre el ejercicio del derecho de
acceso) y con la normativa de protección de datos:
Artículo 12 RGPD: ?El responsable del tratamiento tomará las medidas oportunas para
facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
5/20
comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma
concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en
particular cualquier información dirigida específicamente a un niño. La información será
facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.?
Artículo 11.1 LOPDGDD2: ?Cuando los datos personales sean obtenidos del afectado el
responsable del tratamiento podrá dar cumplimiento al deber de información establecido en
el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a
la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio
que permita acceder de forma sencilla e inmediata a la restante información.?
Artículo 12.2 LOPDGDD: ?2. El responsable del tratamiento estará obligado a informar al
afectado sobre los medios a su disposición para ejercer los derechos que le corresponden.
Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no
podrá ser denegado por el solo motivo de optar el afectado por otro medio.? En este sentido
queremos insistir que no denegamos el ejercicio del derecho (que además se hubiera
gestionado de ser ejercido por el Formulario de Privacidad por el equipo y proceso
dedicados a tal fin) sino que la situación de excepcionalidad y un error humano en un agente
dieron lugar a no reiterar una vez más al CLIENTE, de acuerdo con nuestro Aviso de
Privacidad, la disponibilidad del Formulario de Privacidad para el ejercicio de sus derechos.
Desarrollaremos este punto en la segunda alegación. Asimismo, estableceremos porqué y
cómo hemos mitigado el riesgo de que esto suceda de nuevo.
Comisión Europea - ¿Cómo debemos tramitar las solicitudes de las personas que ejercen
sus derechos en materia de protección de datos?: ?Cuando los datos personales se tratan
con medios electrónicos, ustedes deben ofrecer medios para que las solicitudes se
presenten electrónicamente.?
AEPD - Ejerce tus derechos: ?El responsable está obligado a informarte sobre los medios
para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar
este derecho por el solo motivo de que optes por otro medio?.
A mayor abundamiento, EDREAMS es consciente de que los clientes pueden ponerse en
contacto con nosotros por distintas vías con finalidades diversas. Por ello, formamos a
nuestros agentes de Atención al cliente y realizamos acciones de concienciación respecto al
ejercicio de derechos. Del mismo modo, facilitamos una guía de respuesta a la que más
adelante nos referiremos, con la finalidad que sepan detectar el ejercicio de derechos y
sepan reiterar la información ya recogida en nuestro Aviso de Privacidad, respecto al
Formulario de Privacidad como medio para ejercer los derechos.
SEGUNDA.- EDREAMS REALIZA ESFUERZOS EXTRA EN CANALES GENÉRICOS DE
ATENCIÓN AL CLIENTE CON EL FIN DE DAR EL MEJOR SERVICIO A SUS CLIENTES.
En primer lugar, es menester confirmar que tras las investigaciones internas comprobamos
que el CLIENTE no ejerció su derecho de acuerdo con nuestro Aviso de Privacidad,
mediante nuestro Formulario de Privacidad (mencionado en la alegación primera y mediante
el cual se garantiza que un agente especializado gestione la correspondiente solicitud). En
segundo lugar, hemos analizado los buzones de correo electrónico genéricos de Atención al
cliente y hemos comprobado que recibimos una solicitud del CLIENTE.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
6/20
Nos hemos puesto en contacto con el equipo de Atención al cliente que nos ha informado
que el agente cerró por error manual el ticket sin haberlo gestionado adecuadamente en
base a nuestros procesos internos que garantizan la correspondiente gestión de dicha
petición, haciendo referencia a nuestro Formulario de Privacidad (como tienen indicado en el
proceso interno de gestión de derechos de protección de datos) o a escalar el ejercicio de
derecho internamente al departamento especializado que se encarga de ello. Este error
manual del agente se produce al recibir la comunicación el 5 de enero de 2021, en el que el
agente no abre ticket interno de respuesta y por ello no le indica al CLIENTE que ejerza el
derecho en el Formulario de Privacidad, como hubiera debido hacer en aquel momento.
Además, esto se produce en un contexto de situación excepcional en la cual se encontraba
EDREAMS dada la saturación sin precedentes de solicitudes en nuestros buzones de correo
electrónico de Atención al cliente que recibimos por la situación provocada por la COVID-19.
Hemos solicitado al equipo de Atención al cliente la cantidad de correos electrónicos
recibidos en nuestros buzones de correo electrónico de Atención al cliente generales y que
facilitamos con carácter confidencial a la Agencia Española de Protección de Datos: en el
mes en el que se produjo la comunicación del CLIENTE al departamento de Atención al
cliente, y debido a toda la crisis del COVID-19, tuvimos un tráfico de recepción de
comunicaciones consistente en un incremento de 450% respecto a las comunicaciones
recibidas el mismo mes del año anterior; en concreto recibimos un total de 63.837
comunicaciones en el mes de enero de 2021, siendo esta una saturación excepcional sin
precedentes.
Pese a estas circunstancias devastadoras tanto económicamente como organizativamente,
hemos intentado continuar contestando de la mejor manera posible a todas las solicitudes
de nuestros clientes, consiguiendo soporte interno de otros equipos para esta gestión y
hemos intentado salir de estos meses lo mejor posible.
En esos canales de Atención al cliente se intenta contestar lo antes posible pero no existe
ningún plazo fijo determinado de respuesta, ya que depende del filtrado de temas y la
priorización de los mismos, que se realiza de forma manual por el equipo de Atención al
cliente y que conlleva riesgos de incorrecta categorización manual a diferencia de lo que
ocurre cuando se ejercitan por el medio adecuado y proporcionado para el ejercicio de
derechos (el Formulario de Privacidad).
Y es precisamente por dicha razón que se creó un medio específico (mediante el Formulario
de Privacidad), cumpliendo con la normativa de protección de datos y con el fin de ser
capaces de ofrecer un proceso maduro y lo más garantista y transparente posible para que
los clientes ejerzan sus derechos de protección de datos.
Además, dicho proceso lo hemos automatizado con una herramienta de privacidad
especializada (***HERRAMIENTA.1), para reducir riesgos y mejorar nuestras respuestas, y
se gestiona con alertas para evitar que venzan plazos y dar respuesta a los clientes lo antes
posible y con un plazo máximo de treinta días.
Prueba de lo mismo es la gestión de la respuesta prioritaria e inmediata al ejercicio del
derecho del CLIENTE con máxima celeridad desde que tuvimos conocimiento del mismo:
fue asignado a un especialista senior para dar tratamiento a este ejercicio de derecho
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
7/20
inmediatamente, realizando todas las acciones internas en nuestros sistemas, las
comprobaciones oportunas y el CLIENTE conformemente respondido.
Muy a nuestro pesar, el caso del CLIENTE no se dirigió correctamente a la información
oportuna y al Formulario de Privacidad. Las circunstancias excepcionales y el error manual
del agente, así como las medidas implementadas (que les trasladamos a continuación),
hacen que el riesgo de reproducirse este caso sea remoto.
TERCERA.- MEJORA CONTINUA DEL LA TRANSPARENCIA SOBRE EL EJERCICIO DE
DERECHOS
Aprovechamos este caso (producido por no ejercitar el derecho de forma correcta y a través
de los medios adecuados así como por un error manual del agente que no siguió nuestras
políticas y guías internas, en un contexto además de excepcionalidad) como una
oportunidad para analizar todas las causas y circunstancias de este caso, referidas
anteriormente en la segunda alegación, y que nos han permitido tomar medidas extra para
evitar que se produzcan situaciones similares.
Nos gustaría hacer hincapié en que consideramos que nuestro programa de cumplimiento
normativo en el ámbito de la privacidad y protección de datos se sustenta en el continuo
monitoreo y continua mejora y aprendizaje con el fin de aumentar los niveles de
cumplimiento normativo.
En este contexto de ejercicio de derechos, también mantenemos la misma filosofía y
tomamos muy en serio los derechos de los interesados, no solo como una acción de
cumplimiento normativo fundamental, sino porque es la mejor manera de garantizar la
confianza de nuestros clientes.
Es por ello, que disponemos de un equipo dedicado y formado específicamente, así como
un proceso interno de ejercicio de derechos de protección de datos, para garantizar la mejor
respuesta posible a nuestros clientes, mediante el Formulario de Privacidad, y los sistemas
internos de coordinación para tratar dichas peticiones de acuerdo con la normativa.
Asimismo, como esfuerzo extra para la garantía y salvaguarda del ejercicio de derechos, se
forma e indica a los agentes de Atención al cliente para que en caso de recibir cualquier
asunto de protección de datos personales, deben dirigir al cliente al Formulario de
Privacidad para que éste así pueda ejercer sus derechos.
Pese a entender que este caso se produce en las circunstancias excepcionales antes
mencionadas, y al haber recibido varios errores manuales de agentes de Atención al cliente
en canales genéricos de dicho servicio, hemos aprovechado para implementar un
Formulario de Atención al cliente, que los clientes accederán, sea vía el Centro de ayuda de
Atención al cliente, sea al enviar un correo electrónico a los buzones de correo electrónico
genéricos de Atención al cliente todavía disponibles.
Dicho formulario dispone de categorías tasadas, entre las cuales está la opción de ejercicio
de derechos que te redirige a nuestro Formulario de Privacidad (como único medio que
debe usarse para el ejercicio de cualquier derecho de los interesados a efectos de
protección de datos personales; ya que se gestiona por un equipo especializado y dedicado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
8/20
a tal finalidad) (ver Anexo 3 - Formulario de Atención al cliente y Anexo 4 - Centro de ayuda
y preguntas frecuentes).
De esta forma, garantizamos un procedimiento especializado y garantista, a la vez que
también redireccionamos a nuestros clientes que se pongan en contacto con nosotros por
otros medios (como son los medios de contacto generales de Atención al cliente) con el fin
de tener un sistema que permita que quien quiera ejercer sus derechos, pueda hacerlo sin
problemas y mitigando los riesgos de errores manuales de agentes de Atención al cliente.
Asimismo, formamos anualmente de forma obligatoria en materia de protección de datos y
especializada en ejercicio de derechos, incluyendo supuestos prácticos como el presente
caso, así como acciones de sensibilización por parte del equipo de Atención al cliente (ver
Anexo 5 - Artículos de sensibilización sobre el ejercicio de derechos), como por ejemplo,
cubriendo temas como ?qué es un ejercicio de derechos de protección de datos? y ?cómo
acompañar a los clientes para que los ejerzan vía el Formulario de Privacidad?.
Por otro lado, hemos realizado en los últimos meses una migración de la herramienta del
Formulario de Privacidad y gestión de derechos, pasando de una genérica a una
especializada en privacidad (como es ***HERRAMIENTA.1) en la cual aparte de ser
gestionada por un equipo especializado y altamente cualificado y sensibilizado en materia
de protección de datos, trabajamos en una automatización de procesos para poder ser más
ágiles y reducir riesgos de errores humanos.
Sentimos lo ocurrido en este caso excepcional. Al mismo tiempo entendemos que dadas las
circunstancias y las medidas antes descritas, EDREAMS cumple con la normativa de
protección de datos así como con las directrices de la propia AEPD (anteriormente referidas
en la primera alegación) y que el cierre del procedimiento sancionador contra EDREAMS
con un apercibimiento, conlleva una interpretación desproporcionada de máximos de la
normativa de protección de datos, en un contexto de pandemia mundial con unos efectos
nunca vividos, especialmente por la industria turística en la que ejerce su actividad dicha
empresa, así como por los esfuerzos realizados por la misma, máxime cuando hemos
mitigado que el riesgo de que vuelva a producirse casos similares a éste, con un Formulario
de Atención al cliente que guía a los clientes en el caso de que, sin haber leído o ignorando
el Aviso de Privacidad, quieran ejercer sus derechos, y puedan ser guiados conformemente
y sus derechos gestionados, mediante el Formulario de Privacidad.
Reiteramos el compromiso del equipo de EDREAMS en el trabajo incansablemente respecto
al aprendizaje y la mejora continua de nuestros procesos, con el objetivo de no solo cumplir
con la normativa, sino afianzar la confianza de nuestros clientes en nosotros. Y en este
contexto, continuaremos en el seguimiento y mejora continua de las políticas, procesos,
acciones y medidas aquí referidas.?
NOVENO : Con fecha 02/09/2022, el órgano instructor del procedimiento sancionador
formuló propuesta de resolución, en la que se propone a la Directora de la AEPD que dirija
un apercibimiento a EDREAMS, con NIF B61965778, por una infracción del artículo 15 del
RGPD, tipificada en el Artículo 83.5 del RGPD.
Esta propuesta de resolución, que se notificó a EDREAMS conforme a las normas
establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
9/20
de las Administraciones Públicas (LPACAP), fue recogida en fecha 02/09/2022, como consta
en el acuse de recibo que obra en el expediente.
DÉCIMO: Con fecha 16/09/2022, se recibe en esta Agencia, en tiempo y forma, escrito de
EDREAMS en el que aduce alegaciones a la propuesta de resolución en el que, en síntesis,
manifestaba que:
? ÚNICA.- EJERCICIO DE DERECHOS EN EDREAMS DE ACUERDO CON LA NORMATIVA.
EDREAMS se reitera en sus alegaciones previas y entiende que cumple con la
normativa en los términos descritos a continuación.
Por un lado, dispone de un canal oficial, el Formulario de Privacidad (Anexo 1 ?
Formulario de Privacidad), que es transparentemente informado y puesto a disposición
de los interesados en nuestro Aviso de Privacidad, resultando de fácil
acceso para el interesado (Anexo 2 - Aviso de Privacidad: ejercicio de derechos).
Por el otro tiene procesos, herramientas, materiales formativos y demás medidas
oportunas en las que se contempla que no se puede denegar el hipotético
ejercicio de derechos por el simple hecho de que se ejercite por otros canales
que no sean el canal oficial.
En esta última dirección, EDREAMS trabaja incansablemente en mejora continua
de las referidas medidas anteriormente, y que se acreditaron conformemente en
la alegación tercera de nuestra respuesta al acuerdo de inicio de procedimiento
sancionador de fecha 29 de julio de 2022 (con número de registro
O00007128e22P0006395), para que en todos sus canales de Atención al cliente
se redirija a los clientes al canal oficial y dedicado para la gestión de los mismos
(el referido Formulario de Privacidad), en el caso de que se utilizasen para el
ejercicio de derechos.
Compartimos que una organización debe tener un canal oficial que recoja un procedimiento
garantista en los términos recogidos por la normativa de protección
de datos, así como unas medidas apropiadas que guíen la actuación de cualquier
empleado de la misma a informar a cualquier interesado sobre cómo ejercer sus
derechos de protección de datos. Sin embargo, una interpretación en la que se
exija el mismo grado de diligencia que debe tener el canal oficial (siempre y
cuando sea transparentemente informado en el Aviso de Privacidad) a cualquier
otro canal de la organización, conllevaría, por un lado, una sobrecarga y dedicación
de recursos desproporcionada de la organización y, por el otro, entendemos
que resultaría contraria al hecho de que la normativa requiera un canal oficial
para el ejercicio de derechos.
La interpretación que recogemos anteriormente se basa en el hecho de que la
norma en cuestión (el artículo 12.2 LOPDGDD) establece claramente que el responsable
del tratamiento puede determinar un canal oficial, siempre y cuando
sea fácilmente accesible (como es en nuestro caso).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
10/20
Resulta claro que la norma ha querido ir más allá y por ello requiere a las organizaciones
una mayor cooperación para potenciar la eficacia de los derechos y, por
ello, se ha recogido que las organizaciones no se puedan escudar en el hecho de
que el correspondiente derecho se hubiera ejercido por otro canal del oficial,
para directamente denegarlo sin más, sin tener controles internos al respecto (en
el referido artículo 12.2 LOPDGDD).
¿Pero acaso eso significa que una organización debe tener en cualquier canal un
sistema de filtración y gestión de tickets que, no solo sea urgentísimo -debido a
la naturaleza urgente del plazo de ejercicio de derechos recogido en la normativa
de protección de datos-, pero que además sea infalible, porque en caso contrario
se abre expediente sancionador contra la organización, pese a tener medidas
apropiadas para dichos canales no especialmente dedicados el ejercicio de derechos
(pese a disponer de un canal oficial, que está transparentemente informado
en el Aviso de Privacidad y fácilmente accesible de acuerdo con la normativa, así
como medidas para reducir el riesgo de un posible error manual de un agente
que gestiona un canal no oficial)?
Esta parte considera desproporcionada una interpretación que conllevara una
respuesta positiva a la pregunta anterior, por lo que ruega que se reconsidere dicha
posición interpretativa, al entender que no se puede desprender dicha conclusión
que, en la práctica, resultaría en que no hubiera un canal oficial, sino que
cualquier canal de comunicación de la empresa pasaría a ser automáticamente
un canal oficial de ejercicio de derechos.
Si la ley hubiera pretendido tal conclusión, requiriendo el mismo nivel de diligencia
para cualquier canal de la organización, el redactado hubiera debido recoger
el siguiente posicionamiento: ?El responsable del tratamiento estará obligado a
informar al afectado sobre el hecho de que en cualquier medio de contacto de la
organización podrá ejercer los derechos que le corresponden, así como facilitar la
lista de los mismos.?
En el caso que nos ocupa, es menester insistir en que estos canales de Atención
al cliente están destinados a finalidades de consumo, y, por lo tanto, no se puede
tener una expectativa de canal de privacidad debido a su naturaleza, y exigir el
mismo nivel de altísima diligencia que soporta un canal dedicado al ejercicio de
derechos.
Aun así, con el fin de intentar garantizar que el interesado tenga el Formulario de
Privacidad a mano incluso pese a un posible despiste excepcional de un agente
de Atención al cliente, hemos implementado una nota al pie de nuestros correos
electrónicos genéricos de Atención al cliente, en la que se vuelve a informar al
cliente, una vez más, de la existencia del Formulario de Privacidad para una gestión
sencilla del ejercicio de derechos y que permite la correcta verificación de la
identidad de los interesados (Anexo 3 - Nota al pie de los correos electrónicos de
Atención al cliente).
Por todo ello, esta parte considera que el precepto en cuestión requiere un deber
de diligencia razonable, pero no maximalista. Y, en esta lógica, sin perjuicio de la
posición anteriormente reconocida respecto a la interpretación del precepto en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
11/20
cuestión, queremos insistir en que sentimos lo ocurrido en este caso excepcional,
y reiteramos el compromiso de EDREAMS en continuar trabajando incansablemente
en la mejora continua de sus procesos, herramientas, y formación en todos
sus canales de Atención al cliente para que, en el caso de que se utilizasen
para el ejercicio de derechos, se dirija a los clientes al canal especial y dedicado
para la gestión de los mismos (el referido Formulario de Privacidad).
A efectos aclaratorios finales, entendemos que en la propuesta de resolución
existe una errata en la mención al artículo 112.1 de la LPACAP (que se refiere a
la resolución final), siendo únicamente aplicable el artículo 89.2 de la LPACAP
(que se refiere a la propuesta de resolución) y, de acuerdo al mismo, presentamos
aquí la presente alegación.
Por todo ello, esta parte:
SOLICITA
1. Que se tenga por presentada la presente alegación en tiempo y forma.
2. Que se tenga a bien en la resolución final, teniendo en cuenta que se trata de
un error manual excepcional de incumplimiento de nuestras políticas y procedimientos
internos, provocado por no haber ejercido el derecho de acceso por el
canal destinado y descrito en nuestro Aviso de Privacidad (Formulario de Privacidad
) habiéndose dirigido a canales genéricos de Atención al cliente en los cuales
la expectativa de respuesta de ejercicio de derechos no puede ser la misma al
estar destinados a temas de consumo. Asimismo, que se tenga a bien que
EDREAMS ha actuado y actúa diligentemente en el respeto, defensa y ejercicio
de los derechos de los interesados y siempre de forma colaborativa con la AEPD
y que todo esto no se vea mermado por este caso excepcional.?
De las actuaciones practicadas en el presente procedimiento y de la documentación obrante
en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: La parte reclamante, con fecha 5 de enero de 2021, envió a las direcciones
customerservice-fr@contact.edreams.com y service.client@edreams.com, sendos correos
electrónicos en los que realiza una queja sobre una compra realizada en dólares
canadienses y solicita acceso a todas las conversaciones mantenidas entre la parte
reclamante y el servicio de atención al cliente de EDREAMS los días 14 de agosto de 2020,
26 de octubre de 2020, 17 de noviembre de 2020 y 28 de diciembre de 2020, y aporta los
siguientes datos para su identificación: nombre y apellido, fecha de nacimiento y cuatro
últimos dígitos de su tarjeta de crédito.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
12/20
SEGUNDO: EDREAMS no facilitó a la parte reclamante el acceso a la grabación de todos
los intercambios telefónicos mantenidos con la empresa, sin que la parte reclamante
hubiese recibido ninguna contestación en el plazo de un mes.
TERCERO: Según afirma EDREAMS en sus alegaciones, la falta de atención del ejercicio
del derecho de acceso se produjo debido a que ??el agente cerró por error manual el ticket
sin haberlo gestionado adecuadamente? Este error manual del agente se produce al
recibir la comunicación el 5 de enero de 2021, en el que el agente no abre ticket
interno de respuesta?.
CUARTO: Según la búsqueda realizada en fecha 30 de diciembre de 2021, en el sitio https://
web.archive.org de los datos históricos que aparecían en la Política de privacidad del sitio
web de EDREAMS dirigido al público español (https://www.edreams.es/politica-deprivacidad
/) el día 13 de enero de 2021 y dirigido al público francés (https://www.edreams.fr/
politique-confidentialite/) el día 20 de enero de 2021, se pudo obtener la siguiente
información:
- En ambas políticas de privacidad se indica que su última actualización tuvo lugar en
junio de 2019.
- En ambas políticas de privacidad se indican dos medios para ejercer los derechos: a
través un formulario online, o a través de una dirección postal. Concretamente, en la
política de privacidad en español se indica lo siguiente: ?Para poder ejercer tus
derechos, haz clic aquí o envía tu solicitud por correo postal a la siguiente dirección:
Protección de datos ? Calle Bailén, 67, 08009 Barcelona, España, Unión Europea.
En tu solicitud debes indicar claramente tu identidad, especificando tu nombre
completo y la dirección de e-mail que utilizaste para realizar la compra o crear una
cuenta, y los derechos que deseas ejercer.?
FUNDAMENTOS DE DERECHO
I
Competencia y normativa aplicable
De acuerdo con lo dispuesto en los artículos 58.2 y 60 del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos (en adelante, RGPD), y según lo establecido en los artículos 47, 48.1, 64.2 y
68.1 y 68.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (en adelante, LOPDGDD) es competente
para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección
de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos tramitados
por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
13/20
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
II
Cuestiones previas
En el presente caso, de acuerdo con lo establecido en el artículo 4.1 del RGPD, consta la
realización de un tratamiento de datos personales, toda vez que EDREAMS realiza la
recogida y conservación de, entre otros, los siguientes datos personales de personas físicas:
nombre y apellido, correo electrónico y grabaciones de las llamadas, entre otros
tratamientos.
EDREAMS realiza esta actividad en su condición de responsable del tratamiento, dado que
es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD.
Además, se trata de un tratamiento transfronterizo, dado que EDREAMS está establecida en
España, si bien presta servicio a otros países de la Unión Europea.
El RGPD dispone, en su artículo 56.1, para los casos de tratamientos transfronterizos,
previstos en su artículo 4.23), en relación con la competencia de la autoridad de control
principal, que, sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del
establecimiento principal o del único establecimiento del responsable o del encargado del
tratamiento será competente para actuar como autoridad de control principal para el
tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo
al procedimiento establecido en el artículo 60. En el caso examinado, como se ha expuesto,
EDREAMS tiene su establecimiento único en España, por lo que la Agencia Española de
Protección de Datos es la competente para actuar como autoridad de control principal.
Por su parte, el derecho de acceso a los datos personales se regula en el artículo 15 del
RGPD.
III
Alegaciones aducidas
En relación con las alegaciones aducidas al acuerdo de inicio del presente procedimiento
sancionador, se procede a dar respuesta a las mismas según el orden expuesto por
EDREAMS:
1.- EJERCICIO DE DERECHOS EN EDREAMS DE ACUERDO CON LA NORMATIVA.
La existencia de un ?Formulario de Privacidad?, mediante el cual EDREAMS centraliza la
gestión del ejercicio de derechos, no debe impedir que una solicitud de ejercicio de derechos
en materia de protección de datos de carácter personal deba ser atendida cuando se
presente por otros medios. Tal y como la propia EDREAMS recoge en sus alegaciones, el
artículo 12.2 de la LOPDGDD dispone que: ?El responsable del tratamiento estará obligado
a informar al afectado sobre los medios a su disposición para ejercer los derechos que le
corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio
del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
14/20
La actuación negligente del empleado en la atención a la solicitud del ejercicio del derecho
de acceso no exime de responsabilidad a EDREMAS. La responsabilidad de la empresa en
el ámbito sancionador por la actuación negligente de un empleado que suponga el
incumplimiento de la normativa de protección de datos ha sido confirmada por la
jurisprudencia del Tribunal Supremo. A este respecto, cabe traer a colación la Sentencia del
Tribunal Supremo núm. 188/2022 (Sala de lo Contencioso, Sección 3ª), de 15 de febrero de
2022 (rec. 7359/2020), cuyo Fundamento de Derecho Cuarto dispone: ?El hecho de que
fuese la actuación negligente de una empleada no le exime de su responsabilidad en cuanto
encargado de la correcta utilización de las medidas de seguridad que deberían haber
garantizado la adecuada utilización del sistema de registro de datos diseñado. Como ya
sostuvimos en la STS nº 196/2020, de 15 de febrero de 2021 (rec. 1916/2020) el encargado
del tratamiento responde también por la actuación de sus empleados y no puede excusarse
en su actuación diligente, separadamente de la actuación de sus empleados, sino que es la
actuación "culpable" de éstos, consecuencia de la violación de las medidas de seguridad
existentes la que fundamenta la responsabilidad de la empresa en el ámbito sancionador
por actos "propios" de sus empleados o cargos, no de terceros.?
Continua la sentencia argumentando acerca de la de la responsabilidad de las personas
jurídicas en nuestro ordenamiento: ??Sencillamente sucede que, estando admitida en
nuestro Derecho Administrativo la responsabilidad directa de las personas jurídicas, a las
que se reconoce, por tanto, capacidad infractora, el elemento subjetivo de la infracción se
plasma en estos casos de manera distinta a como sucede respecto de las personas físicas,
de manera que, como señala la doctrina constitucional que antes hemos reseñado -SsTC
STC 246/1991, de19 de diciembre (F.J. 2) y 129/2003, de 30 de junio (F.J. 8)- la
reprochabilidad directa deriva del bien jurídico protegido por la norma que se infringe y la
necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en
consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha
norma".
2.- EDREAMS REALIZA ESFUERZOS EXTRA EN CANALES GENÉRICOS DE ATENCIÓN
AL CLIENTE CON EL FIN DE DAR EL MEJOR SERVICIO A SUS CLIENTES.
Las medidas adoptadas por EDREAMS en orden a procurar el debido cumplimiento por
parte de sus empleados de la normativa de protección de datos, sin desvirtuar su
responsabilidad en los hechos, junto con la rápida atención al ejercicio del derecho de
acceso con motivo del requerimiento de información realizado por esta Agencia, han sido
tenidas en cuenta a efectos de decidir el poder correctivo a aplicar, considerando el
apercibimiento como más adecuado que la multa.
3.-MEJORA CONTINUA DE LA TRANSPARENCIA SOBRE EL EJERCICIO DE
DERECHOS
Tal y como se ha expuesto en contestación a la anterior alegación, las medidas adoptadas
por EDREAMS para facilitar el ejercicio de derechos en materia de protección de datos, sin
desvirtuar la responsabilidad derivada de la comisión de la infracción, han sido tenidas en
cuenta a efectos de decidir el poder correctivo a aplicar, considerando el apercibimiento
como más adecuado que la multa.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
15/20
Formulada propuesta de resolución por el instructor del presente procedimiento, en el
trámite de audiencia al interesado se presentan alegaciones por parte de EDREAMS
reiterando sus alegaciones previas. Cabe señalar que la necesidad de que las solicitudes de
ejercicio del derecho de acceso a los datos personales no se circunscriban a las peticiones
realizadas a través de un canal determinado, es un criterio compartido con el Comité
Europeo de Protección de Datos (en adelante, CEPD), el cual, en cumplimiento del objetivo
de garantizar la aplicación coherente del Reglamento General de Protección de Datos
(según le atribuye el artículo 70 del RGPD), se encuentra elaborando unas orientaciones
para proporcionar una base clara y transparente sobre el ejercicio del derecho de acceso
(Directrices 01/2022 sobre los derechos de los interesados- el derecho de acceso)
?Guidelines 01/2022 on data subject rights - Right of access?.
En el apartado 3.1.2 (párrafos 52 a 57) de la versión sometida a consulta pública de las
citadas Directrices
(https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-ofaccess
_0.pdf), se expresa lo siguiente acerca de los requisitos de la solicitud del ejercicio
del derecho de acceso (traducción no oficial):
?52. Como se señaló anteriormente, el RGPD no impone ningún requisito a los interesados
en relación con el formulario de la solicitud de acceso a los datos personales. Por lo tanto,
en principio no hay requisitos el RGPD que los interesados deben observar al elegir un
canal de comunicación a través del cual entran en contacto con el responsable.
53. El CEPD anima a los responsables del tratamiento a que proporcionen los canales de
comunicación más adecuados y fáciles de usar, de conformidad con el artículo 12, apartado
2, y el artículo 25, para permitir que el interesado realice una solicitud efectiva. No obstante,
si el interesado realiza una solicitud a través de un canal de comunicación proporcionado
por el responsable que es diferente del indicado como preferible, la solicitud se considerará,
en general, eficaz y el responsable del tratamiento deberá tramitar dicha solicitud. En
consecuencia, los responsables del tratamiento deben llevar a cabo todos los esfuerzos
razonables para asegurarse de que se facilita el ejercicio de los derechos del interesado
(por ejemplo, en caso de que el interesado envíe los datos la solicitud a un empleado que
está de permiso, un mensaje automático informando al interesado sobre un canal de
comunicación alternativo para su solicitud podría ser un esfuerzo razonable).
54. Cabe señalar que el responsable del tratamiento no está obligado a actuar en respuesta
a una solicitud enviada al azar o dirección de correo electrónico incorrecta (o postal), no
proporcionada directamente por el responsable, o a cualquier canal de comunicación que es
evidente que no está destinado a recibir solicitudes relativas a los derechos del interesado,
si el responsable del tratamiento ha proporcionado un canal de comunicación adecuado,
que pueda ser utilizado por el interesado.
55. El responsable del tratamiento tampoco está obligado a responder a una solicitud
enviada a la dirección de correo electrónico de sus empleados que no pueden participar en
el tratamiento de solicitudes relativas a los derechos de los interesados (p. ej.conductores,
personal de limpieza, etc.). Dichas solicitudes no se considerarán eficaces, si el responsable
del tratamiento ha proporcionado claramente al interesado el canal de comunicación
adecuado. Sin embargo, si el interesado envía una solicitud al empleado del responsable
que se ocupa de los asuntos del interesado a diario (contacto único de un cliente, como, por
ejemplo, administrador de cuentas personales), dicho contacto no debe ser considerado
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
16/20
como aleatorio y el responsable debe hacer todos los esfuerzos razonables, para tramitar
dicha solicitud de manera que pueda ser redirigida al punto de contacto y responder dentro
de los plazos establecidos para por el GDPR.
56. No obstante, el CEPD recomienda, como buena práctica, que los responsables del
tratamiento introduzcan, en la medida de lo posible, mecanismos para mejorar la
comunicación interna entre los empleados en las solicitudes recibidas por aquellos que
puedan no ser competente para atender tales solicitudes, con el fin de facilitar el ejercicio de
los derechos de los interesados.
57. La fecha de recepción de la solicitud por parte del responsable del tratamiento activa,
por regla general, el plazo de un mes para que el responsable del tratamiento facilite
información sobre las medidas adoptadas en respuesta a una solicitud, de conformidad con
el artículo 12, apartado 3 del RGPD. El CEPD considera como buenas prácticas de los
responsables del tratamiento confirmar la recepción de las solicitudes por escrito, por
ejemplo, enviando correos electrónicos (o información por correo, si fuese aplicable) a las
personas solicitantes, que confirmen que sus solicitudes han sido recibidas y que el período
de un mes va desde el día X hasta el día Y?.
Estos criterios determinan una interpretación amplia en cuanto a la aceptación de las
solicitudes del ejercicio del derecho de acceso dirigidas por un interesado al responsable del
tratamiento. Con carácter general, la solicitud del ejercicio del derecho de acceso a los datos
personales debe ser considerada eficaz, por lo que los responsables del tratamiento deben
hacer todos los esfuerzos razonables para asegurar que se facilita el ejercicio de los
derechos de los interesados. La parte reclamante envió la solicitud a dos correos
electrónicos que pertenecen a EDREAMS, concretamente a su servicio de atención al
cliente. Este servicio no puede entenderse excluido de la obligación de la atención de las
solicitudes de ejercicio de derechos que formulen los clientes de EDREAMS, ya sea
directamente o mediante traslado a la unidad correspondiente. Según el apartado 55 de la
Guía 01/2022, el responsable del tratamiento no está obligado a responder a una solicitud,
enviada a la dirección de correo electrónico de sus empleados, que no pueden participar en
el tratamiento de solicitudes relativas a los derechos de los interesados, como conductores o
servicio de limpieza. Sin embargo, un departamento cuya actividad es la atención al público,
como es el servicio de atención al cliente de EDREAMS, que realiza funciones que
conllevan el tratamiento de datos personales de los ciudadanos, no puede verse excluido de
la obligación de atender a las solicitudes de sus clientes en el ejercicio del derecho de
acceso a sus datos personales. De este modo, la propia EDREAMS, según explica en su
alegación SEGUNDA, tiene procesos internos para que el equipo de atención al cliente
gestione las solicitudes de ejercicio de derechos en materia de protección de datos, que no
se aplicaron a la solicitud realizada por la parte reclamante: ??Nos hemos puesto en
contacto con el equipo de Atención al cliente que nos ha informado que el agente cerró por
error manual el ticket sin haberlo gestionado adecuadamente en base a nuestros procesos
internos que garantizan la correspondiente gestión de dicha petición, haciendo referencia a
nuestro Formulario de Privacidad (como tienen indicado en el proceso interno de gestión de
derechos de protección de datos) o a escalar el ejercicio de derecho internamente al
departamento especializado que se encarga de ello.?
En el presente caso, a pesar de las medidas a que hace referencia EDREAMS, la falta de
respuesta al ejercicio del derecho de acceso por la parte reclamante en el plazo de un mes a
partir de la recepción de la solicitud ha quedado acreditada en el presente procedimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
17/20
Estas alegaciones no desvirtúan ninguno de los hechos probados, habiendo sido tenidas en
consideración a los efectos de valorar las circunstancias concurrentes en la comisión de la
infracción.
Por todo lo expuesto, se desestiman todas las alegaciones.
IV
Derecho de acceso
El artículo 15 ?Derecho de acceso del interesado? del RGPD establece:
?1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de
si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de
acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o
serán comunicados los datos personales, en particular destinatarios en terceros
países u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no
ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de
datos personales o la limitación del tratamiento de datos personales relativos al
interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier
información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a
que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado.
2. Cuando se transfieran datos personales a un tercer país o a una organización
internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en
virtud del artículo 46 relativas a la transferencia.
3. El responsable del tratamiento facilitará una copia de los datos personales objeto de
tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el
interesado un canon razonable basado en los costes administrativos. Cuando el interesado
presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de
otro modo, la información se facilitará en un formato electrónico de uso común.
4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los
derechos y libertades de otros?.
En el presente caso, consta que la parte reclamante envió un correo electrónico a las
direcciones customerservice-fr@contact.edreams.com y service.client@edreams.com, con
fecha 5 de enero de 2021, en el que realiza una queja sobre una compra realizada en
dólares canadienses y, a su vez, solicita acceso a todas las conversaciones mantenidas
entre el reclamante y el servicio de atención al cliente de EDREAMS los días 14 de agosto
de 2020, 26 de octubre de 2020, 17 de noviembre de 2020 y 28 de diciembre de 2020.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
18/20
EDREAMS solo dio respuesta a esta solicitud una vez recibido el requerimiento de
información de esta Agencia.
Por tanto, de conformidad con las evidencias de las que se dispone en este momento de
resolución de procedimiento sancionador, se considera que los hechos conocidos son
constitutivos de una infracción, imputable a EDREAMS, por vulneración del artículo 15 del
RGPD.
V
Tipificación de la infracción del artículo 15 del RGPD
La citada infracción del artículo 15 del RGPD supone la comisión de las infracciones
tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica ?Condiciones generales para la
imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total
anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
(?)
b) los derechos de los interesados a tenor de los artículos 12 a 22; (?)?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que:
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6
del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 74 ?Infracciones consideradas leves? de la
LOPDGDD indica:
?Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente
formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento
(UE) 2016/679 y, en particular, las siguientes:
(?)
c) No atender las solicitudes de ejercicio de los derechos establecidos en los
artículos 15 a 22 del Reglamento (UE) 2016/679, salvo que resultase de aplicación lo
dispuesto en el artículo 72.1.k) de esta ley orgánica. (?)?
VI
Sanción por la infracción del artículo 15 del RGPD
Sin perjuicio de lo dispuesto en el artículo 83 del RGPD, el citado Reglamento dispone en el
apartado 2.b) del artículo 58 ?Poderes? lo siguiente:
?Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados
a continuación:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
19/20
(?)
b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando
las operaciones de tratamiento hayan infringido lo dispuesto en el presente
Reglamento; (?)?
Por su parte, el considerando 148 del RGPD indica:
?En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una
carga desproporcionada para una persona física, en lugar de sanción mediante multa puede
imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza,
gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para
paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción
anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la
infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la
adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante.?
De conformidad con las evidencias de que se dispone en el presente momento de
resolución de procedimiento sancionador, se considera que la infracción en cuestión es leve
a los efectos del artículo 83.2 del RGPD dado que en el presente caso, atendiendo a que no
consta en esta Agencia que se hubieran resuelto procedimientos por infracciones similares
de EDREAMS en el año anterior a los hechos, a que la parte reclamante envió la solicitud a
las direcciones de correo electrónico de atención al cliente en vez de a la indicada en la
política de privacidad o a través del formulario a tal efecto y a que la solicitud de acceso en
cuestión fue atendida diligentemente una vez recibido el requerimiento de información de
esta Agencia, todo lo cual permite considerar una disminución de la culpa en los hechos, por
lo que se considera conforme a Derecho, no imponer sanción consistente en multa
administrativa y sustituirla por dirigir un apercibimiento a EDREAMS.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación
de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DIRIGIR un apercibimiento a VACACIONES EDREAMS, S.L., con NIF
B61965778, por una infracción del Artículo 15 del RGPD, tipificada en el Artículo 83.5 del
RGPD.
SEGUNDO: NOTIFICAR la presente resolución a VACACIONES EDREAMS, S.L.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución
se hará pública una vez haya sido notificada a los interesados.
De acuerdo con lo establecido en el artículo 60.7 del RGPD, se informará de esta
resolución, una vez sea firme, a las autoridades de control interesadas y al Comité Europeo
de Protección de Datos.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
20/20
interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de
la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día
siguiente a la notificación de esta resolución o directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con
arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta
de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa,
en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto,
según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta
su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el
interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia
Española de Protección de Datos, presentándolo a través del Registro Electrónico de la
Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los
restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre.
También deberá trasladar a la Agencia la documentación que acredite la interposición
efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día
siguiente a la notificación de la presente resolución, daría por finalizada la suspensión
cautelar.
938-120722
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es