Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00030-2021 de 25 de mayo de 2021
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 59 min
Órgano: Agencia Española de Protección de Datos
Fecha: 25/05/2021
Num. Resolución: PS-00030-2021
Cuestión
Sector:1 / 24
Procedimiento Nº: PS/00030/2021
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y con
base en los siguientes
ANTECEDENTES
PRIMERO : A.A.A. (en adelante el reclamante) interpuso reclamación ante la...
Contestacion
1/24
? Procedimiento Nº: PS/00030/2021
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y con
base en los siguientes
ANTECEDENTES
PRIMERO: A.A.A. (en adelante el reclamante) interpuso reclamación ante la Agencia
española de Protección de Datos (en adelante AEPD) por la recepción el ***FECHA.1,
a las 11:34 horas, de una llamada comercial en nombre de ?Vodafone España, S.A.U.?,
con CIF A80907397 (en adelante la reclamada o VDF), a su línea telefónica
***TELÉFONO.1, que se encuentra inscrita en la lista de exclusión publicitaria
Robinson, desde la línea ***TELÉFONO.2.
Documentación relevante aportada por el reclamante:
- Archivo de audio de 34 segundos que se corresponde a la grabación de la llamada
comercial reclamada.
- Copia de la factura (emitida por XFERA MÓVILES, S.A.U. con CIF A82528548) de la
línea telefónica ***TELÉFONO.1 en la que se acredita la titularidad del reclamante.
- Copia del certificado del registro en Lista Robinson emitido el 31/01/2020, en que
consta su línea telefónica ***TELÉFONO.1 inscrita contra llamadas telefónicas
comerciales desde el 03/08/2018.
SEGUNDO: A la vista de los hechos denunciados en la reclamación y de los
documentos aportados por el reclamante / de los hechos y documentos de los que ha
tenido conocimiento esta Agencia, la Subdirección General de Inspección de Datos
procedió a la realización de actuaciones previas de investigación para el
esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación
otorgados a las autoridades de control en el artículo 57.1 del Reglamento (UE)
2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de
conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en lo sucesivo LOPDGDD).
Como resultado de las actuaciones de investigación practicadas, se constata que el
responsable del tratamiento es el reclamado.
ANTECEDENTES
Fecha de entrada de la reclamación: ***FECHA.2.
Reclamante: A.A.A.
Reclamada: VODAFONE ESPAÑA, S.A.U.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/24
Con fecha 15/04/2020 en el registro de entrada 014582/2020, asociado al
procedimiento E/02271/2020, la AEPD constató alegaciones de la reclamada en que
ésta estableció no tener constancia en su base de datos del número ***TELÉFONO.2
asociado a sus colaboradores que realizan llamadas de captación en su nombre. La
reclamada en ese mismo registro manifestó que el reclamante le constaba inscrito en
la Lista Robinson correspondiente desde el 03/08/2018. Además, la reclamada informa
haber incluido en la lista Robinson interna de su entidad a la línea telefónica
***TELÉFONO.1 del reclamante a raíz del traslado de la reclamación, pasando a
constar como inscrita en ella. La reclamada expuso no haber contactado con el
reclamante para notificarle las gestiones realizadas por no disponer de sus datos de
contacto
ENTIDADES INVESTIGADAS
Según consta en la Diligencia, incorporada en el Expediente de Investigación asociado
(E/09385/2020) en fecha 25/11/2020, la línea telefónica con número ***TELÉFONO.2
era operada por SEWAN COMUNICACIONES, según constaba en los Registros de
Numeración y Operadores de Telecomunicaciones de la Comisión Nacional de los
Mercados y la Competencia (en adelante, CNMC).
En consecuencia, durante las presentes actuaciones se ha investigado a la siguiente
entidad:
SEWAN COMUNICACIONES, S.L.U. (en adelante, la investigada #1), con CIF
B73619215 y domicilio en ***DIRECCIÓN.1 (MADRID).
Asimismo, en el transcurso de las actuaciones previas de investigación, se estableció
la necesidad de proceder a investigar también a la siguiente entidad:
VAMAVI PHONE, S.L. (en adelante, la investigada #2), con CIF B87914446 y domicilio
en ***DIRECCIÓN.2, ***LOCALIDAD.1 (MADRID).
RESULTADO DE LAS ACTUACIONES DE INVESTIGACIÓN
? La operadora de telecomunicaciones del reclamante, XFERA MÓVILES, S.A.U.
manifiesta confirmación sobre la recepción en el número ***TELÉFONO.1
(titularidad del reclamante) de la llamada realizada por la línea
***TELÉFONO.2, el ***FECHA.1 a las 11:34:50 horas. Esta línea de origen de
la llamada le consta como entrante en la plataforma de interconexión operada
por la investigada #1.
? La investigada #1 alega ser una operadora de telecomunicaciones que
suministra servicios telefónicos a clientes, usuarios finales y revendedores. La
investigada #1 aporta copia del registro público de operadores de la CNMC en
que así aparece identificada.
? La investigada #1 identifica a la investigada #2 como su cliente titular de la
línea telefónica ***TELÉFONO.2 el ***FECHA.1 a las 11:34:50 horas, y
concretamente en su titularidad desde el 2 de octubre de 2019. La investigada
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/24
#1 alega no haber realizado por su parte la llamada ni disponer de contrato o
vinculación alguna con la reclamada para publicitar sus servicios comerciales.
? La investigada #1 confirma que la llamada desde la línea telefónica
***TELÉFONO.2 a la línea ***TELÉFONO.1 (titularidad del reclamante) se
produjo el ***FECHA.1 en el entorno de las 11:34 horas y tuvo una duración de
39 segundos. La investigada #1 aporta copia de la factura correspondiente al
mes de enero de 2020 emitida a la investigada #2, como su cliente titular de la
línea telefónica ***TELÉFONO.2, en que aparece reflejada dicha llamada
telefónica.
? La investigada #2 confirma la realización de una llamada comercial el
***FECHA.1 a las 11:34 horas para ofrecer servicios comerciales en nombre y
por cuenta de la reclamada, a la línea telefónica del reclamante
***TELÉFONO.1 desde la línea ***TELÉFONO.2 (bajo su titularidad).
? La investigada #2 expresa que la captación de clientes para la reclamada
mediante llamadas comerciales telefónicas se producía en el segmento de
particulares, autónomos y microempresas.
? La investigada #2 alega no disponer de ficheros relativos a los titulares de las
líneas telefónicas a las que llamaba comercialmente debido a que se
generaban listas de números aleatorios a partir de la lista de numeraciones
válidas publicadas por la CNMC, conforme a las instrucciones de la reclamada
según contrato. La investigada #2 aporta copia de listado de numeraciones
telefónicas presuntamente extraído de la CNMC.
? La investigada #2 manifiesta disponer de acceso a la Lista Robinson en la que
realiza los filtrados para evitar numeraciones que se hayan opuesto a las
llamadas comerciales y añade reconocer la línea telefónica del reclamante
***TELÉFONO.1 incluida en dicha lista. La investigada #2 alega, tras la
identificación del número del reclamante involucrado en la llamada comercial
producida, que [sic]: ?(?) por lo que parece que se trata de un error puntual en
nuestro sistema de filtrado.?
TERCERO: Con fecha 27 de enero de 2021, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador al reclamado (VDF), por
la presunta infracción del Artículo 28 del RGPD, tipificada en el Artículo 83.4 del
RGPD.
CUARTO: El responsable no ha solicitado práctica de pruebas ni el envío de la
documentación obrante en el expediente.
QUINTO: En relación con las alegaciones vertidas por el responsable tras el acuerdo
de inicio, se contestan en el Fundamento de Derecho II (FDII).
SEXTO: Con fecha 5 de marzo de 2021 se formuló propuesta de resolución, en los
siguientes términos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/24
en relación con el art. 24 ambos del RGPD, tipificada en el Artículo 83.4 del RGPD y
conforme al art. 83.2, con multa de cuantía 100.000 euros (cien mil euros)>.
SÉPTIMO: Consta que investigada #2 (Vamavi) dispone de acceso directo a VDF
mediante clave de acceso, para proceder al alta de los servicios contratados en
calidad de distribuidor directo de VDF desde septiembre de 2019.
OCTAVO: Con fecha 23/03/2021, VDF presentó alegaciones a la Propuesta de
Resolución, en resumen, en los siguientes términos:
1. VDF no es la responsable de los tratamientos que realizan sus ?colaboradores ?
que utilizan sus propias bases de datos en el desarrollo de su propia actividad?.
2. La AEPD ha investigado sobre la numeración llamante y ha concluido que la misma
es de titularidad de la entidad Vamavi, entidad que ha reconocido haber efectuado
la llamada al reclamante para promocionar los servicios de VDF. Esta entidad ha
identificado ante la Agencia como subagente de Solivesa.
De las actuaciones practicadas en el presente procedimiento y de la documentación
obrante en el expediente, han quedado acreditados los siguientes,
HECHOS PROBADOS
PRIMERO: La reclamada (VDF) es la responsable de los tratamientos de datos
personales llevados a cabo por sus entidades encargadas, entre la que se encuentra
la investigada#2, al ser la que define la finalidad y medios y actuando las encargadas
en nombre y por cuenta de VDF.
SEGUNDO: La reclamada (VDF) contrató con investigada#2 -en calidad de encargada
del tratamiento- quien realizó una llamada comercial al reclamante en fecha
***FECHA.1, 11:34m, de 39 segundos de duración, a su número de línea
***TELÉFONO.1 desde la línea ***TELÉFONO.2, ofertando los servicios de VDF.
TERCERO: Consta que VDF tuvo conocimiento de los hechos ahora analizados y de
los datos del reclamante el 11/03/2020 (16:03:36, según el soporte del servicio de
notificaciones electrónicas y dirección electrónica certificada). En el traslado de la
reclamación constaban los datos completos de contacto del reclamante. Sin embargo,
VDF alega que no se comunicó con el reclamante al no disponer de sus datos.
CUARTO: La línea ***TELÉFONO.1 del reclamante se encontraba inscrita en el listado
de exclusión publicitaria robinson de ADigital desde la fecha 3/08/2018.
QUINTO: En el contrato de encargado del tratamiento celebrado entre VDF y la
investigada #2, de fecha 19/09/2017, y en los anexos II, III y IV aportados que se
encabezan con referencia expresa a la investigada #2 como ?encargado del
tratamiento?, no constan las instrucciones sobre cómo llevar a cabo el preceptivo cruce
de datos a fin de eliminar las líneas inscritas en el listado robinson de ADigital de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/24
exclusión publicitaria. Al respecto, VDF alega que no existe ?ninguna instrucción de
VDF respecto al tratamiento de dichos datos? (sic).
SEXTO: Tampoco consta por parte de VDF la monitorización y seguimiento de la
ejecución del contrato de encargado desde su inicio hasta el final del tratamiento de
datos personales objeto de encargo para acciones publicitarias, incluyendo la
subcontratación con terceros de los servicios promocionales de VDF. La reclamada
hasta el inicio del presente procedimiento no tuvo conocimiento de que el número de
teléfono del reclamante se encontraba incluido en el listado de exclusión publicitaria
Lista Róbinson de Adigital, sin que conste acción alguna frente a la investigada #2
para evitar la llamada comercial en su nombre por la investigada#2.
SÉPTIMO: En el expositivo VI del citado contrato consta que el ámbito de este
contrato de prestación de servicios es la promoción de los servicios en nombre y por
cuenta de VDF.
En la cláusula segunda consta: ?El objeto del presente contrato es la promoción
comercial, de manera presencial, de los Servicios de VODAFONE en el área
geográfica que le sea comunicada por VODAFONE al COLABORADOR (en adelante,
?Zona de Venta?) para que éstos sean contratados por los Clientes y consumidos de
manera recurrente y consolidada. Excepcionalmente, el COLABORADOR podrá
ejercer su actividad a través de la realización de llamadas telefónicas cuando
VODAFONE lo autorice expresamente esta autorización podrá ser limitada temporal u
objetivamente a promociones/campañas concretas?.
En la cláusula cuarta consta: ?En las Zonas de Venta en las que el COLABORADOR
desarrolle su actividad para VODAFONE, el COLABORADOR no podrá, ni directa ni
indirectamente, promover la comercialización de servicios de otros operadores,
empresas o profesionales que intervengan en el mercado en el que opera
VODAFONE, con o sin red propia, que concurran o compitan directa o indirectamente
con los Servicios prestados por VODAFONE, con independencia de la tecnología
utilizada por los referidos operadores, empresas o profesionales, debiendo desarrollar
su actividad profesional en este campo exclusivamente por cuenta y en nombre de
VODAFONE?.
En la cláusula quinta consta:
?5.2 Al inicio de vigencia del presente contrato el COLABORADOR cuenta con los
terceros colaboradores relacionados en el Anexo II del presente contrato. (consta
investigada #2 como encargada del tratamiento)
5.3. El COLABORADOR deberá comunicar expresamente a VODAFONE las nuevas
incorporaciones de terceros colaboradores que deberán ser expresamente
autorizados por VODAFONE de acuerdo con la cláusula 6.1. Asimismo, el
COLABORADOR deberá remitir a VODAFONE con carácter trimestral la relación de
terceros colaboradores con los que en ese momento cuente?.
OCTAVO: El apartado 6 del Anexo IV del citado contrato señala lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/24
6.1. El Encargado de Tratamiento no subcontratará o externalizará ningún Tratamiento
de Datos Personales a ninguna otra persona o entidad, incluyendo las Entidades del
Grupo del Encargado de Tratamiento ("Subencargado de Tratamiento") a menos y
hasta que:
6.1.1. El Encargado de Tratamiento haya notificado a Vodafone mediante notificación
formal por escrito el nombre completo y sede social o sede principal del
SubEncargado de Tratamiento completando el Anexo 1.
6.1.2. El Encargado de Tratamiento haya notificado a Vodafone cualquier cambio que
se requiera hacer al Anexo 1 de acuerdo con esta Cláusula 6.
6.1.3. El Encargado de Tratamiento haya proporcionado a Vodafone el detalle
(incluyendo categorías) del Tratamiento que debe realizar el SubEncargado de
Tratamiento con relación a los Servicios prestados;
6.1.4. Encargado de Tratamiento haya firmado un acuerdo con dicho Subencargado
de Tratamiento que, en ningún caso, podrá ser menos exigentes que lo contenido en
el presente Acuerdo;
6.1.5. El Encargado de Tratamiento deberá remitir a Vodafone un certificado o
declaración responsable en la que manifieste que ha suscrito con sus Subencargados
los correspondientes contratos en materia de protección y tratamiento de datos
personales en los que se trasladen todas las obligaciones exigidas por VODAFONE
de conformidad con lo dispuesto por VODAFONE en la cláusula 13 del contrato y en la
cláusula 6.1.4. de este Anexo, reservándose el derecho VODAFONE a solicitar
evidencias de cumplimiento en cualquier momento.;
6.1.6. Vodafone no se haya opuesto de manera fundamentada a la subcontratación o
externalización dentro de los diez (10) días hábiles siguientes a la recepción de la
notificación escrita del Encargado de Tratamiento establecida en la Cláusula 6.1.1,
incluyendo la información establecida en la Cláusula 6.1.3; y
6.2. En todos los casos, el Encargado de Tratamiento será responsable ante Vodafone
de cualquier acto u omisión realizada por el Subencargado de Tratamiento o cualquier
otra tercera parte designada por él como si los actos u omisiones hubieran sido
llevados a cabo por el Encargado de Tratamiento, independientemente de si el
Encargado de Tratamiento cumplió con sus obligaciones especificadas en la Cláusula
6.1.
6.3. En caso de incumplimiento de las obligaciones recogidas en el presente Acuerdo
por la comisión de acciones llevadas a cabo por un Subencargado de Tratamiento, el
Encargado de Tratamiento deberá, en caso de que lo solicitara Vodafone, asignarle el
derecho a Vodafone de actuar como considere necesario para la protección y
salvaguada los Datos Personales, en virtud del contrato del Encargado de Tratamiento
con el Subencargado de Tratamiento>.
NOVENO: El apartado 9 del Anexo IV del citado contrato señala lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/24
El Encargado de Tratamiento se asegurará de que cualquier Subencargado de
Tratamiento permita a Vodafone, sus clientes (incluidos los subcontratistas, auditores
u otros agentes de Vodafone y sus respectivos clientes) y / o las Autoridades de
Privacidad (cada una de ellas una "Parte de Auditoría") acceder a sus sistemas
informáticos y otros sistemas de información, registros, documentos y acuerdos que
razonablemente requiera la Parte de Auditoria, para comprobar que el Encargado de
Tratamiento y / o sus SubEncargados de Tratamientos están cumpliendo con sus
obligaciones establecidas bajo el presente Acuerdo (o cualquier contrato de
subTratamiento subsiguiente) o cualquier Legislación de Privacidad Aplicable, siempre
que dicha revisión no implique la revisión de datos de terceros y que dicha entidad
auditora cumpla con las obligaciones de confidencialidad del Encargado de
Tratamiento o con el Subencargado de Tratamiento pertinente, respetando la
confidencialidad de los intereses comerciales del Encargado de Tratamiento o
Subencargado de Tratamiento y los datos e información de terceros de los cuales la
entidad auditora pueda tomar conocimiento en el curso de la realización de la
auditoría?>
DÉCIMO: Consta que el procedimiento sancionador de referencia PS/00026/2021
incoado contra investigada#2 (Vamavi), fue resuelto por pago anticipado y
reconocimiento de los hechos (los descritos en el Hecho Probado Segundo), lo que
conoce la reclamada toda vez que lo alega. Asimismo, en el procedimiento
sancionador de referencia PS/00031/2021 se resuelve en el sentido de archivar los
hechos imputados a Solivesa toda vez que en el hecho probado duodécimo consta
que Vamavi actuó por cuenta y en nombre de VDF en calidad de encargada del
tratamiento en la realización de la llamada ahora investigada al reclamante. Consta
que VDF tiene conocimiento de lo anterior al constar acreditado en el hecho probado
duodécimo de la resolución del citato PS/00031/2021, lo siguiente:
Vamavi disponía de clave de acceso directa de Vodafone para altas en servicios
contratados, momento en que Vodafone informa a SOLIVESA que efectivamente
Vamavi dispone de clave directa de Vodafone como distribuidor autorizado desde
septiembre de 2019.> (en subrayado es de la AEPD).
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de
control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora
de la Agencia Española de Protección de Datos es competente para iniciar y para
resolver este procedimiento.
II
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/24
En relación con las alegaciones vertidas por el responsable tras el acuerdo de inicio,
se contestan en los siguientes términos:
1R) Se debe señalar que el objeto de la reclamación no es debido directamente a la
recepción de una llamada no deseada, sino a una llamada a una línea inscrita en el
listado de exclusión publicitaria desde el 3/08/2018, vulnerando lo dispuesto en el art
23 de la LOPDGDD.
Tal y como se desarrolla en los Fundamentos de Derecho, el responsable debe tener
control absoluto sobre los tratamientos de datos objeto de encargo debiendo, no solo
previamente comprobar los medios organizativos y técnicos de los que dispone la
entidad encargada, sino realizar las auditorias posteriores precisas a fin de garantizar
los derechos y libertades de los afectados en los tratamientos llevados a cabo en
nombre y por cuenta del responsable.
2R) Tal y como se indica en los Fundamentos de Derecho, la imputación a VDF en el
presente procedimiento sancionador no exonera de responsabilidad a otras entidades
involucradas en los tratamientos de datos de responsabilidad VDF y objeto de encargo
a otras entidades en calidad de encargadas, si bien cada una deberá responder por su
conducta contraria al RGPD, en su caso, en procedimientos separados.
3R) En el presente caso, VDF es la responsable de los tratamientos llevados a cabo
por las entidades encargadas de los mismos. La llamada publicitaria recibida por el
reclamante estando incluido en el listado de exclusión publicitaria Robinson de Adigital
debió evitarse aplicando medios organizativos y técnicos eficaces en la contratación
del/los encargado/s, que no consta que existieran implantados.
4R) VDF alega que los encargados deberán presentarse ante los potenciales clientes
en su nombre. Sin perjuicio de las normas internas de cortesía ante un potencial
cliente, se debe señalar que en el tratamiento objeto de análisis se realiza en nombre y
por cuenta de VDF en todo momento, con independencia de las bases de datos que
se usen.
5R) En cuanto al sistema de enrutamiento de llamadas a través de la troncal de VDF,
se debe señalar que no consta su eficacia toda vez que en el presente caso no se ha
realizado ni verificado el correcto filtrado de llamadas con el listado de exclusión
publicitaria Adigital.
5, 6 y 7R) Además, según ha manifestado VDF en otros procedimientos, dicho sistema
de enrutamiento debía estar activado en febrero de 2020 y ahora VDF alega que no
estará efectiva hasta febrero de 2021, lo que denota falta grave de diligencia sobre la
actividad comercial que realizan los encargados del tratamiento en nombre y por
cuenta de VDF.
8.1R) Como ya se ha reiterado, en cuanto a la aplicación del agravante del art 76.1.b)
de la LOPDGDD en relación con el art 83.2.k) del RGPD, es evidente su aplicación
toda vez que VDF es una de las grandes operadoras de telecomunicaciones del país y
actúa como responsable de los datos objeto de tratamiento en sus campañas
publicitarias de captación de clientes y, en el presente caso, actuando sin la diligencia
debida en la contratación y seguimiento de entidades encargadas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/24
8.2R) Se debe insistir en que VDF es la responsable de los tratamientos objeto de
análisis en el presente procedimiento, tal y como se acredita en los hechos probados y
se desarrolla en los Fundamentos de Derecho.
8.3R) Se debe indicar que el artículo 83.2.e) del RGPD señala como agravante: ?toda
infracción ??, es decir, la reiteración de conductas contrarias a la normativa de
competencia la AEPD.
III
En relación con las alegaciones vertidas por el responsable tras el acuerdo de inicio,
se contestan en los siguientes términos:
1R) VDF no es la responsable de los tratamientos que realizan sus ?colaboradores
? que utilizan sus propias bases de datos en el desarrollo de su propia actividad?.
De la definición de responsable del tratamiento del art. 4.7 de RGPD, consta que VDF
es la que determina los fines y medios del tratamiento. En el presente caso, consta
que Vamavi materializa la llamada al reclamante en nombre y por cuenta de VDF
según consta en el contrato suscrito entre ambas entidades en septiembre de 2019.
En los Fundamentos de Derecho siguientes se concreta el concepto de responsable
del tratamiento, encargado del tratamiento y las obligaciones de uno y otro conforme
dispone el art. 28 del RGPD. En consecuencia la alegación debe desestimarse.
2R) La AEPD ha investigado sobre la numeración llamante y ha concluido que la
misma es de titularidad de la entidad Vamavi, entidad que ha reconocido haber
efectuado la llamada al reclamante para promocionar los servicios de VDF. Esta
entidad ha identificado ante la Agencia como subagente de Solivesa.
Según consta en los hechos probados de la presente resolución, la alegación debe
desestimarse toda vez que consta acreditado que VDF y Vamavi suscribieron contrato
directo e independiente (en septiembre de 2019) del suscrito previamente con
Solivesa, por lo que en el presente caso Vamavi actuó en calidad de encargada del
tratamiento por cuenta y en nombre de VDF en la realización de la llamada al
reclamante en fecha 31 enero de 2020. En consecuencia, la realización de la llamada
comercial por Vamavi en nombre y por cuenta de VDF (responsable) en fecha
31/01/2020 cuando el reclamante estaba incluido en el listado de exclusión publicitaria
Róbinson de Adigital desde el 3/08/2018, es de total responsabilidad de VDF al no
haber tenido la diligencia debida en ordenar y asegurarse previamente y durante todo
el periodo de ejecución del contrato que su encargado (Vamavi) eliminaba los registros
incluidos en el listado de exclusión publicitaria Róbinson de Adigital, conforme dispone
el art 28 del RGPD y art. 23 de la LOPDGDD.
IV
El artículo 24 del RGPD, establece lo siguiente:
28001 ? Madrid sedeagpd.gob.es
10/24
1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento
así como los riesgos de diversa probabilidad y gravedad para los derechos y
libertades de las personas físicas, el responsable del tratamiento aplicará medidas
técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el
tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y
actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre
las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del
responsable del tratamiento, de las oportunas políticas de protección de datos.
3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un
mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados
como elementos para demostrar el cumplimiento de las obligaciones por parte del
responsable del tratamiento.>
El Informe 0064/2020 del Gabinete Jurídico de la AEPD ha expresado con rotundidad
que ?El RGPD ha supuesto un cambio de paradigma al abordar la regulación del
derecho a la protección de datos personales, que pasa a fundamentarse en el
principio de «accountability» o «responsabilidad proactiva» tal y como ha señalado
reiteradamente la AEPD (Informe 17/2019, entre otros muchos) y se recoge en la
Exposición de motivos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales (LOPDGDD)?.
Sigue diciendo el citado informe que ??los criterios sobre cómo atribuir los diferentes
roles siguen siendo los mismos (apartado 11), reitera que se trata de conceptos
funcionales, que tienen por objeto asignar responsabilidades de acuerdo con los roles
reales de las partes (apartado 12), lo que implica que en la mayoría de los supuestos
deba atenderse a las circunstancias del caso concreto (case by case) atendiendo a
sus actividades reales en lugar de la designación formal de un actor como
"responsable" o "encargado" (por ejemplo, en un contrato), así como de conceptos
autónomos, cuya interpretación debe realizarse al amparo de la normativa europea
sobre protección de datos personales (apartado 13), y teniendo en cuenta (apartado
24) que la necesidad de una evaluación fáctica también significa que el papel de un
responsable del tratamiento no se deriva de la naturaleza de una entidad que está
procesando datos sino de sus actividades concretas en un contexto específico??.
Los conceptos de responsable y encargado de tratamiento no son formales, sino
funcionales y deben atender al caso concreto. La denominación por parte de VDF de
?responsables del tratamiento? a sus colaboradores, no les confiere automáticamente
tal condición.
El responsable del tratamiento lo es desde el momento que decide los fines y los
medios del tratamiento, no perdiendo tal condición el hecho de dejar cierto margen de
actuación al encargado del tratamiento o por no tener acceso a las bases de datos del
encargado.
Así se expresa indubitadamente en las Directrices 07/2020 del Comité Europeo de
Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y
encargado en el RGPD -la traducción es nuestra-, ?Un responsable del tratamiento es
quien determina los propósitos y los medios del tratamiento, es decir, el porqué y el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/24
cómo del tratamiento. El responsable del tratamiento debe decidir sobre ambos
propósitos y medios. Sin embargo, algunos aspectos más prácticos de la
implementación ("medios no esenciales") se pueden dejar en manos del encargado
del tratamiento. No es necesario que el responsable tenga realmente acceso a los
datos que se están tratando para calificarse como responsable?.
En el presente caso, consta que VDF es la responsable del tratamiento de datos ahora
analizado (llamada al reclamante en fecha ***FECHA.1 realizada por Vamavi en
calidad de encargada del tratamiento en nombre y por cuenta de VDF) toda vez que,
conforme define el art 4.7 del RGPD, es la entidad que determina la finalidad y medios
de los tratamientos realizados en acciones de mercadotecnia directa de la encargada.
Por lo que en su condición de responsable del tratamiento está obligada a cumplir con
lo dispuesto en el transcrito art 24 del RGPD y, en especial, en cuanto al control
efectivo y continuado de ?medidas técnicas y organizativas apropiadas a fin de
garantizar y poder demostrar que el tratamiento es conforme con el presente
Reglamento? entre las que se encuentran las dispuestas en el artículo 28 del RGPD en
relación con los encargados de los tratamientos que actúan en nombre y por cuenta de
VDF.
En este sentido, y en relación con la alegación vertida por VDF en su escrito de
alegaciones sobre que los responsables de los tratamientos que las entidades
encargadas realizan por cuenta y nombre de VDF y, por tanto, aquellas que disponen
de sus propios ficheros no actúan en calidad de encargadas sino en calidad de
responsables de esos tratamientos, se debe señalar, que en las Directrices 07/2020
del Comité Europeo de Protección de Datos (CEPD) sobre los conceptos de
responsable del tratamiento y encargado en el RGPD -la traducción es nuestra-,?42.
No es necesario que el responsable del tratamiento tenga realmente acceso a los
datos que se están procesando. Quien externalice una actividad de tratamiento y, al
hacerlo, tenga una influencia determinante en la finalidad y los medios (esenciales) del
tratamiento (por ejemplo, ajustando los parámetros de un servicio de tal manera que
influya en cuyos datos personales serán tratados), debe ser considerado como
responsable aunque nunca tendrá acceso real a los datos?. Recordemos que VDF
determina a quién se pueden realizar las llamadas, pues no cabe efectuarlas a
quienes ya son clientes de la compañía, amén del filtrado respecto de listas de
exclusión publicitaria (Robinson ADigital) o lo que corresponda respecto del ejercicio
de oposición (Robinson interno).
Asimismo, siguiendo el informe jurídico de la AEPD de fecha 20/11/2019, con
referencia interna 0007/2019 y STS 1562/2020 (por todas), hemos de reseñar que se
analiza la figura jurídica de encargado del tratamiento desde la perspectiva del RGPD
que la regula de forma exclusiva.
V
El artículo 28 del RGPD, establece lo siguiente:
Encargado del tratamiento
tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes
para aplicar medidas técnicas y organizativas apropiados, de manera que el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/24
tratamiento sea conforme con los requisitos del presente Reglamento y garantice la
protección de los derechos del interesado.
2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa
por escrito, específica o general, del responsable. En este último caso, el encargado
informará al responsable de cualquier cambio previsto en la incorporación o
sustitución de otros encargados, dando así al responsable la oportunidad de oponerse
a dichos cambios.
3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con
arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado
respecto del responsable y establezca el objeto, la duración, la naturaleza y la
finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las
obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en
particular, que el encargado:
a) tratará los datos personales únicamente siguiendo instrucciones documentadas del
responsable, inclusive con respecto a las transferencias de datos personales a un
tercer país o una organización internacional, salvo que esté obligado a ello en virtud
del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en
tal caso, el encargado informará al responsable de esa exigencia legal previa al
tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés
público;
b) garantizará que las personas autorizadas para tratar datos personales se hayan
comprometido a respetar la confidencialidad o estén sujetas a una obligación de
confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32;
d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro
encargado del tratamiento;
e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de
medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este
pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto
el ejercicio de los derechos de los interesados establecidos en el capítulo III;
f) ayudará al responsable a garantizar el cumplimiento de las obligaciones
establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento
y la información a disposición del encargado;
g) a elección del responsable, suprimirá o devolverá todos los datos personales una
vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias
existentes a menos que se requiera la conservación de los datos personales en virtud
del Derecho de la Unión o de los Estados miembros;
h) pondrá a disposición del responsable toda la información necesaria para demostrar
el cumplimiento de las obligaciones establecidas en el presente artículo, así como
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/24
para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por
parte del responsable o de otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará
inmediatamente al responsable si, en su opinión, una instrucción infringe el presente
Reglamento u otras disposiciones en materia de protección de datos de la Unión o de
los Estados miembros.
4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo
determinadas actividades de tratamiento por cuenta del responsable, se impondrán a
este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al
Derecho de la Unión o de los Estados miembros, las mismas obligaciones de
protección de datos que las estipuladas en el contrato u otro acto jurídico entre el
responsable y el encargado a que se refiere el apartado 3, en particular la prestación
de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas
de manera que el tratamiento sea conforme con las disposiciones del presente
Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos,
el encargado inicial seguirá siendo plenamente responsable ante el responsable del
tratamiento por lo que respecta al cumplimiento de las obligaciones del otro
encargado.
5. La adhesión del encargado del tratamiento a un código de conducta aprobado a
tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo
42 podrá utilizarse como elemento para demostrar la existencia de las garantías
suficientes a que se refieren los apartados 1 y 4 del presente artículo.
6. Sin perjuicio de que el responsable y el encargado del tratamiento celebren un
contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4
del presente artículo podrá basarse, total o parcialmente, en las cláusulas
contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive
cuando formen parte de una certificación concedida al responsable o encargado de
conformidad con los artículos 42 y 43.
7. La Comisión podrá fijar cláusulas contractuales tipo para los asuntos a que se
refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de
examen a que se refiere el artículo 93, apartado 2.
8. Una autoridad de control podrá adoptar cláusulas contractuales tipo para los
asuntos a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el
mecanismo de coherencia a que se refiere el artículo 63.
9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por
escrito, inclusive en formato electrónico.
10. Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del
tratamiento infringe el presente Reglamento al determinar los fines y medios del
tratamiento, será considerado responsable del tratamiento con respecto a dicho
tratamiento>
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/24
La definición de «encargado del tratamiento» incluye una amplia gama de actores, ya
sean personas físicas o jurídicas, autoridades públicas, agencias u otros organismos.
La existencia de encargado del tratamiento depende de una decisión adoptada por el
responsable del tratamiento (VDF), que podrá decidir realizar ella misma determinadas
operaciones de tratamiento o contratar la totalidad o parte del tratamiento con un
encargado.
La esencia de la función de «encargado del tratamiento» es que los datos personales
sean tratados en nombre y por cuenta del responsable del tratamiento. En la práctica,
es el responsable el que determina la finalidad y los medios, al menos los esenciales,
mientras que el encargado del tratamiento tiene una función de prestar servicios a los
Responsables del Tratamiento. En otras palabras, «actuando en nombre y por cuenta
del responsable del tratamiento» significa que el encargado del tratamiento está al
servicio del interés del responsable del tratamiento en llevar a cabo una tarea
específica y que, por tanto, sigue las instrucciones establecidas por el responsable del
tratamiento, al menos en lo que se refiere a la finalidad y a los medios esenciales del
tratamiento encomendado.
El artículo 28, apartado 1, del RGPD establece que ?Cuando se vaya a realizar un
tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un
encargado que ofrezca garantías suficientes para aplicar medidas técnicas y
organizativas apropiados, de manera que el tratamiento sea conforme con los
requisitos del presente Reglamento y garantice la protección de los derechos del
interesado?.
La obligación prevista en el artículo 28.1 del RGPD -de seleccionar un encargado del
tratamiento que ofrezca garantías suficientes para garantizar la aplicación del
Reglamento y los derechos y libertades del interesado- no se agota en la actuación
previa de selección y contratación de encargado de tratamiento. Esto obliga al
responsable del tratamiento a evaluar en todo momento durante la toda la ejecución
del contrato si las garantías (técnicas u organizativas) ofrecidas por el encargado del
tratamiento son suficientes para garantizar los derechos y libertades de los
interesados.
Las Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD) sobre los
conceptos de responsable del tratamiento y encargado en el RGPD -la traducción es
nuestra- disponen, sin lugar a dudas que ?97. La obligación de utilizar únicamente los
encargados de tratamiento "que proporcionan garantías suficientes" contenidas en el
artículo 28, apartado 1, del RGPD es una obligación continua. No termina en el
momento en que el responsable y el encargado del tratamiento celebran un contrato u
otro acto legal. En su lugar, el responsable debe, a intervalos apropiados, verificar las
garantías del encargado, incluso a través de auditorías e inspecciones cuando
corresponda ?.
Y ello, porque el responsable del tratamiento es quien tiene la obligación de garantizar
la aplicación de la normativa de protección de datos y la protección de los derechos de
los interesados, así como ser capaz de demostrarlo (artículos 5.2, 24, 28 y 32 del
RGPD). El control del cumplimiento de la legalidad se extiende durante todo el
tratamiento, desde el principio hasta el final. El responsable del tratamiento debe
actuar, en cualquier caso, de forma diligente, consciente, comprometida y activa.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/24
Ese mandato del legislador es independiente de que el tratamiento lo realice
directamente el responsable del tratamiento o de que lo efectúe valiéndose de un
encargado del tratamiento. Donde la Ley no distingue, no podemos distinguir nosotros.
Además, el tratamiento ejecutado materialmente por un encargado de tratamiento por
cuenta del responsable del tratamiento pertenece la esfera de actuación de éste
último, de igual forma que si lo realizara directamente él mismo. El encargado de
tratamiento, en el supuesto examinado, es una extension del responsable del
tratamiento.
El responsable del tratamiento tiene la obligación de integrar y desplegar la protección
de datos dentro de todo lo que constutiya su organización, en todos sus ámbitos. Se
debe de tener muy presente que, en última instancia, la finalidad determinante es la de
garantizar la protección del interesado.
Interpretarlo en sentido contrario -las obligaciones que el artículo 28 del RGPD impone
al responsable del tratamiento se limitan a verificar las capacidades del encargado ab
initio y a suscribir el contrato de encargado del tratamiento- no sólo contravendrían la
legalidad vigente constituyendo una actuación claramente fraudulenta, sino que
violaría el espíritu y finalidad del RGPD.
A la luz del principio de responsabilidad proactiva (art 5.2 RGPD), el responsable del
tratamiento debe poder demostrar que ha tomado en cuenta todos los elementos
previstos en el RGPD. En el presente caso, VDF se ha desentendido de la
contratación por la entidad encargada de los tratamientos inicialmente encomendados.
El responsable del tratamiento debe tener en cuenta si el encargado del tratamiento
aporta documentación adecuada que demuestre dicho cumplimiento, políticas de
protección de la intimidad, las políticas de gestión de archivos, las políticas de
seguridad de la información, los informes de auditoría externa, las certificaciones,
gestión de los ejercicios de derechos ? etc.
El responsable del tratamiento debe también tener en cuenta los conocimientos
técnicos especializados del encargado del tratamiento, la fiabilidad y sus recursos.
Solo si el responsable del tratamiento puede demostrar (principio de responsabilidad
proactiva del art 5.2 del RGPD) que el encargado del tratamiento es adecuado durante
toda la fase del tratamiento (en todo momento) para llevar a cabo el encargo
encomendado podrá celebrar un acuerdo vinculante que cumpla los requisitos del
artículo 28 del RGPD, sin perjuicio de que el responsable del tratamiento debe seguir
cumpliendo el principio de rendición de cuentas y comprobar periódicamente la
conformidad del encargado y las medidas en uso. Antes de externalizar un tratamiento
y a fin de evitar posibles vulneraciones de derechos y libertades de los afectados, el
responsable del tratamiento debe celebrar un contrato, otro acto jurídico o un acuerdo
vinculante con la otra entidad que establezca obligaciones claras y precisas en materia
de protección de datos (en el presente caso consta contrato de septiembre de 2019
con Vamavi).
El encargado del tratamiento solo puede realizar tratamientos sobre las instrucciones
documentadas del responsable, a menos que esté obligado a hacerlo por el Derecho
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/24
de la Unión o de un Estado miembro, que no es el caso. El encargado del tratamiento
tiene también la obligación de colaborar con el responsable en garantizar los derechos
de los interesados y cumplir las obligaciones del responsable del tratamiento de
conformidad con lo dispuesto en el citado art 28 del RGPD (y conexos).
Por tanto, se insiste, en que el responsable del tratamiento debe establecer
modalidades claras para dicha asistencia y dar instrucciones precisas al encargado del
tratamiento sobre cómo cumplirlas de forma adecuada y documentarlo previamente a
través de un contrato o bien en otro acuerdo (vinculante) y comprobar en todo
momento del desarrollo del contrato su cumplimiento en la forma establecida en el
mismo.
Sin embargo, a pesar de las obligaciones del responsable, el artículo 28 del RGPD
parece sugerir que la responsabilidad del encargado del tratamiento sigue siendo
limitada en comparación con la responsabilidad del responsable del tratamiento. En
otras palabras, aunque los responsables del tratamiento pueden, en principio, ser
responsables de los perjuicios derivados de cualquier infracción relacionada con el
tratamiento de datos personales (incluidos los que se hayan cometido por el
encargado del tratamiento) o el incumplimiento del contrato u otro acuerdo (vinculante)
los encargados podrán ser considerados responsables cuando hayan actuado al
margen del mandato otorgado por el responsable del tratamiento, o no hayan cumplido
sus propias obligaciones contractulaes o con arreglo al RGPD. En estos casos, el
encargado del tratamiento puede ser considerado total o parcialmente responsable de
la «parte» de la operación de tratamiento en la que participa. Solo será el encargado
plenamente responsable cuando sea enteramente responsable de los perjuicios
ocasionados en cuanto a los derechos y libertades de los interesados afectados ; todo
ello, sin eludir la responsabilidad en la que el responsable del tratamiento haya
incurrido a fin de evitarlos.
En el presente caso, y conforme al contenido del contrato suscrito la investigada #2
actúa en calidad de encargada toda vez que, con arreglo a la definición, actúan
plenamente en nombre y por cuenta del responsable (VDF) a todos lo efectos en
materia de protección de datos. Basta con traer a colación el contenido de la ya
mencionada STS 1562/2020 (por todas), que señala lo siguiente :
confirma, en casación para Unificación de Doctrina, la de esta AN de 16 de octubre de
2003, haciéndose eco de lo argumentado por esta Sala refiere la diferenciación de dos
responsables en función de que el poder decisión vaya dirigido al fichero o al propio
tratamiento de datos. Así, el responsable del fichero es quien decide la creación del
fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene
capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero.
El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las
decisiones sobre las concretas actividades de un determinado tratamiento de datos,
esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en
los que el poder de decisión debe diferenciarse de la realización material de la
actividad que integra el tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/24
Con ello, como asimismo argumenta la STS de 26 de Abril de 2005 (casación para
unificación de doctrina 217/2004 ), el legislador español pretende adaptarse a las
exigencias de la Directiva 95/46/CE, que tiene como objetivo dar respuesta legal al
fenómeno, que cada vez es más frecuente, de la llamada externalización de los
servicios informáticos, donde actúan múltiples operadores, muchos de ellos
insolventes, creados con el objetivo de buscar la impunidad o irresponsabilidad de los
que le siguen en los eslabones siguientes de la cadena.
En la actualidad, el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales (por el que se deroga la Directiva
95/46/CE, y de aplicación directa a partir del 25 de mayo de 2018) distingue asimismo
entre las figuras del responsable y del encargado del tratamiento. La primera se define
en el apartado 7) del artículo 4 como " persona física o jurídica (...) que determine los
fines y medios del tratamiento" . Y el encargado de tratamiento en el apartado 8) del
mismo artículo 4 como aquel que "trate datos personales por cuenta del responsable
del tratamiento".
Ello en relación con los Artículos 24 y 28 del mismo Reglamento Europeo de
Protección de Datos. Responsable y encargado del tratamiento de datos que, sin lugar
a dudas, resultan asimismo responsables de las infracciones en materia de protección
de datos, en tal nuevo marco normativo, de conformidad con lo previsto en el artículo
82.2 del repetido Reglamento (UE) 2016/679 a cuyo tenor: « Cualquier responsable
que participe en la operación de tratamiento responderá de los daños y perjuicios
causados en caso de que dicha operación no cumpla lo dispuesto por el presente
Reglamento. Un encargado únicamente responderá de los daños y perjuicios
causados por el tratamiento cuando no haya cumplido con las obligaciones del
presente Reglamento dirigidas específicamente a los encargados o haya actuado al
margen o en contra de las instrucciones legales del responsable ».
Se desprende de todo lo anterior que la concurrencia, en el presente supuesto, de un
encargado del tratamiento ZZZZ en absoluto exime de responsabilidad a la entidad
XXXX ahora recurrente, y ello a pesar de la contundencia de las cláusulas que figuran
en el contrato y anexo al mismo firmados por ambas compañías (hechos probados 9 y
10) en cuanto los datos personales tratados lo fueron con la finalidad de llevar a cabo
una campaña publicitaria respecto de seguros de coche y moto que comercializaba la
(XXXX), en definitiva en beneficio de dicha XXXX, siendo tal entidad actora la que, en
último termino, determina los fines y medios del repetido tratamiento de datos, por lo
que la misma no puede ser exonerada de responsabilidad.>>
Continua la STS, en relación con la posible exoneración de responsabilidad alegada
en cuanto a lo suscrito en el contrato de «encargado del tratamiento», lo siguiente :
por su cliente del derecho de oposición al tratamiento de sus datos, se manifiesta en
que dicha sociedad no adoptó ninguna clase de medida o de cautela para evitar el
envío de publicidad a las direcciones de correo electrónico de su cliente por parte de
aquellas empresas a las que encomendó la realización de las campañas publicitarias.
La adopción de las medidas o cautelas necesarias para asegurar la efectividad del
derecho de oposición al tratamiento de sus datos por parte de XXXX, como
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/24
responsable del fichero, subsisten aunque las campañas publicitarias no se realicen a
partir de los datos de sus propios ficheros, sino con bases de datos de otras
compañías contratadas por XXXX, y en este caso quedó acreditado que la recurrente
no comunicó a las empresas con las que contrató la realización de servicios de
publicidad la oposición del denunciante a recibir publicidad de la Mutua, ni en definitiva
adoptó previsión alguna para asegurar la exclusión de su cliente de los envíos
publicitarios contratados con terceras entidades >> y como en el presente caso,
resultando la línea llamada incluida en los listados de exclusión publicitaria desde el
3/08/2018.
En consecuencia, se debe concluir que el tratamiento analizado en los antecedentes
en sus diversas modalidades por el encargado, el responsable del tratamiento es
Vodafone España, S.A.U. (VDF) y actuando en calidad de encargado aquella otra
entidad que actúa en nombre y por cuenta de VDF y en beneficio de esta (Vamavi).
De la documentación que obra en el expediente a la que se hace mención en la
presente resolución a partir de la información recabada por la Inspección de esta
AEPD y propios actos y manifestaciones de VDF, se acredita el incumplimiento por
VDF como responsable de los tratamientos encomendados del control efectivo y
continuado en el tiempo de las medidas dispuestas en el arriba transcrito art 28 del
RGPD.
Al respecto, añadir que la obligación dispuesta en el art 28.3.h) RGPD, utilizando en el
inicio el término imperativo «pondrá» referido al encargado del tratamiento, genera la
obligación de «exigir» al responsable « el cumplimiento de las obligaciones
establecidas en el presente artículo, así como para permitir y contribuir a la realización
de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor
autorizado por dicho responsable.?
Así, consta que los encargados del tratamiento (y en su caso sucesivos
subencargados) que actúan en nombre y por cuenta de VDF no ofrecen las garantías
suficientes para aplicar las medidas técnicas y organizativas apropiadas al tratamiento
encargado por VDF. Y tampoco constan debidamente documentadas por VDF las
tareas encomendadas que llevan a cabo los tratamientos en nombre y por cuenta del
responsable (VDF).
VDF, como responsable del tratamiento, desconoce en que condiciones contrata a un
encargado para actuar por su cuenta y nombre y bajo sus especificaciones concretas
-que no existen en cuanto al cruce y exclusión de lineas llamadas incluidas
previamente en robinson Adigital- y acepta en estas condiciones y sin reparos esta
conducta aún teniendo conocimiento de esta anomalía.
Nada consta en la relación entre VDF y encargados respecto a los requisitos
enumerados en el art 28.3 arriba citado que, en resumen, se concretan en definir
previamente por el responsable del tratamiento (VDF) el objeto, duración, naturaleza,
finalidad, tipos de datos, categorías, obligaciones y derechos de los interesados, y
facultades obligatorias de control continuo ? etc. Tan sólo en ocasiones puntuales se
cita haber comunicado informalmente unas u otras pautas concretas de actuación sin
que ello implique control efectivo alguno de VDF con los tratamientos encomendados
por su cuenta y en su nombre.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/24
Por lo tanto, el incumplimiento de la normativa sobre protección de datos debe ser
imputada también, y en primer lugar, al responsable del tratamiento (VDF) al no actuar
de forma clara, activa y eficaz en estipular y hacer efectivas las especificaciones
oportunas para llevar a cabo adecuadamente en el tiempo el tratamiento
encomendado en su nombre.
Lo anterior, sin perjuicio de la responsabilidades en las que hayan incurrido las
entidades encargadas y subencragadas de los tratamientos que deberán dirimirse en
otros procedimientos, que a la fecha ya han sido resueltos.
En consecuencia, no consta que VDF haya realizado un seguimiento continuo durante
todo el ciclo de ejecución de los tratamientos encargados a pesar de las numerosas
reclamaciones conocidas e investigaciones en curso llevadas a cabo por AEPD y de
las que VDF tiene pleno conocimiento
VI
Art 23 LOPDGDD.
Artículo 23. Sistemas de exclusión publicitaria.
de comunicaciones comerciales a quienes hubiesen manifestado su negativa u
oposición a recibirlas. A tal efecto, podrán crearse sistemas de información, generales
o sectoriales, en los que solo se incluirán los datos imprescindibles para identificar a
los afectados. Estos sistemas también podrán incluir servicios de preferencia,
mediante los cuales los afectados limiten la recepción de comunicaciones comerciales
a las procedentes de determinadas empresas.
2. Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a
la autoridad de control competente su creación, su carácter general o sectorial, así
como el modo en que los afectados pueden incorporarse a los mismos y, en su caso,
hacer valer sus preferencias. La autoridad de control competente hará pública en su
sede electrónica una relación de los sistemas de esta naturaleza que le fueran
comunicados, incorporando la información mencionada en el párrafo anterior. A tal
efecto, la autoridad de control competente a la que se haya comunicado la creación
del sistema lo pondrá en conocimiento de las restantes autoridades de control para su
publicación por todas ellas.
3. Cuando un afectado manifieste a un responsable su deseo de que sus datos no
sean tratados para la remisión de comunicaciones comerciales, este deberá informarle
de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la
información publicada por la autoridad de control competente.
4. Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán
previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su
actuación, excluyendo del tratamiento los datos de los afectados que hubieran
manifestado su oposición o negativa al mismo. A estos efectos, para considerar
cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión
incluidos en la relación publicada por la autoridad de control competente.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/24
No será necesario realizar la consulta a la que se refiere el párrafo anterior cuando el
afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su
consentimiento para recibir la comunicación a quien pretenda realizarla.>>
VII
Para el caso de que concurra una infracción de los preceptos del RGPD, entre los
poderes correctivos de los que dispone la Agencia Española de Protección de Datos,
como autoridad de control, el artículo 58.2 de dicho Reglamento contempla los
siguientes:
?2 Cada autoridad de control dispondrá de todos los siguientes poderes correctivos
indicados a continuación:
(?)
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento
cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente
Reglamento;?
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de
las medidas mencionadas en el presente apartado, según las circunstancias de cada
caso particular;?.
VIII
Por lo tanto, VDF en calidad de responsable de los tratamientos llevados por cuenta y
en su nombre y de conformidad con las evidencias de las que se dispone en el
presente momento, se considera que los hechos expuestos incumplen lo establecido
en el artículo 28, con el alcance expresado en los Fundamentos de Derecho
anteriores, y suponen la comisión de una infracción tipificada en el artículo 83.4.a) del
RGPD, que bajo la rúbrica ?Condiciones generales para la imposición de multas
administrativas? dispone lo siguiente:
El artículo 83.4.a) del RGPD, establece lo siguiente:
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a
39, 42 y 43; ?>.
Artículo 71 de la LOPDGDD. Infracciones.
Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5
y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica.
El artículo 73 apartado p) de la LOPDGDD, establecen lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/24
infracciones que supongan una vulneración sustancial de los artículos mencionados
en aquel y, en particular, las siguientes:
p) El tratamiento de datos personales sin llevar a cabo una previa valoración de los
elementos mencionados en el artículo 28 de esta ley orgánica.>
De conformidad con las evidencias de las que se dispone, los hechos constituyen
infracción del art. 28 en relación con el art 24 del RGPD, infracción tipificada en el art.
83.4.a) de dicha norma y considerada grave a efectos de prescripción en el art. 73
apartado p) de la LOPDGDD.
IX
En el presente caso, la reclamada, en calidad de responsable del tratamiento de datos
personales ahora imputado, no ha acreditado llevar a cabo con sus obligaciones ni la
debida diligencia a la que está obligada conforme señala el art 28 y 24 del RGPD en el
seguimiento y control sucesivo y permanente durante todo el ciclo completo del
tratamiento de los servicios encargados con la entidad encargada del tratamiento
(Vamavi), lo que ha dado lugar a la vulneración de derechos y libertades del
reclamante.
X
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/24
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.
Por su parte, en relación con el art 83.2.k) RGPD, el artículo 76 ?Sanciones y medidas
correctivas? de la LOPDGDD dispone:
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación
establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.
3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de
las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento
(UE) 2016/679.
4. Será objeto de publicación en el Boletín Oficial del Estado la información que
identifique al infractor, la infracción cometida y el importe de la sanción impuesta
cuando la autoridad competente sea la Agencia Española de Protección de Datos, la
sanción fuese superior a un millón de euros y el infractor sea una persona jurídica.
Cuando la autoridad competente para imponer la sanción sea una autoridad
autonómica de protección de datos, se estará a su normativa de aplicación>.
De acuerdo con los preceptos transcritos, y derivado de la instrucción del
procedimiento a efectos de fijar el importe de la sanción por infracción del art 28 del
RGPD a VDF como responsable de la citada infracción tipificada en el artículo 83.4.a)
del RGPD, procede graduar la multa que corresponde imponer como sigue:
Infracción por incumplimiento de lo establecido en el artículo 28 en relación con el 24
del RGPD, tipificada en el artículo 83.4.a) y calificada como grave a efectos de
prescripción en el artículo 73, apartados p) de la LOPDGDD:
Se estiman agravantes concurrentes los criterios de graduación siguientes, según
artículo 83.2 del RGPD y 76 de la LOPDGDD:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/24
Art. 76.1.b) LOPDGDD. La alta vinculación de la actividad del infractor con la
realización de tratamientos de datos personales. Consta conocido que VDF es una
entidad con más de quince millones de clientes cuyos datos personales son tratados
de forma sistemática en el ejercicio de sus atribuciones como una de las principales
operadoras de telecomunicaciones.
Art. 83.1 y 83.2.k) y RGPD. La condición de gran empresa de la entidad responsable y
su volumen de negocio (según el informe de cuentas anual auditado correspondiente
al periodo de marzo 2018 a marzo 2019, más 1.600 millones de euros de cifra de
negocio y con más de 4.000 empleados).
Art. 83.2.b) RGPD. La entidad reclamada no tiene implantados procedimientos
adecuados de actuación en la contratación y seguimiento continuo, permanente y
efectivo durante toda la vigencia de contrato con los encargados del tratamiento de
modo que la infracción no es consecuencia de una anomalía puntual en el
funcionamiento de dichos procedimientos sino un defecto persistente y continuado del
sistema de gestión de los datos personales diseñado por la responsable en cuanto a
los tratamientos delegados a los encargados de los mismos, que denota una
negligencia grave.
Art. 83.2.e) Toda infracción anterior: Constan en esta AEPD más de cincuenta
procedimientos sancionadores finalizados en los dos últimos años.
Considerando los factores expuestos, y teniendo en cuenta el rango de la sanción
posible de hasta 10 millones de euros, la valoración de la cuantía de la multa por la
infracción imputada es de 100.000 ? (cien mil euros), resultando en el presente caso
adecuada al ser proporcional, efectiva y disuasoria (art 83.1 RGPD).
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la
Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a VODAFONE ESPAÑA, S.A.U., con CIF A80907397, por una
infracción del Artículo 28 del RGPD, tipificada en el Artículo 83.4 del RGPD, una multa
de 100.000 euros (cien mil euros).
SEGUNDO: NOTIFICAR la presente resolución a VODAFONE ESPAÑA, S.A.U..
TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia
Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso
contrario, se procederá a su recaudación en período ejecutivo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/24
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es