Acerca de operadores lógicos
Última revisión
21/11/2023
Resolución de la Agencia Española de Protección de Datos PS-00030-2023 de 16 de noviembre de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 72 min
Órgano: Agencia Española de Protección de Datos
Fecha: 16/11/2023
Num. Resolución: PS-00030-2023
Cuestión
1 / 28Expediente N.º: EXP202300740
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Dña. A.A.A. (en adelante la reclamante) con fecha 04/11/2021 interpuso
reclamación...
Contestacion
1/28
? Expediente N.º: EXP202300740
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Dña. A.A.A. (en adelante la reclamante) con fecha 04/11/2021 interpuso
reclamación ante la Agencia Española de Protección de Datos. La reclamación
cuestiona la actuación de la mercantil ESTUDIO INMOBILIARIO SAN ISIDRO, S.L.U.
(en lo sucesivo ESTUDIO) cuyo empleado se presentó en su domicilio para
promocionar los servicios de alquiler o venta en relación con un inmueble que es
propiedad de su padre; la reclamante cuestionó la actuación de dicha entidad ya que
no existe ningún tipo de información, ni de su padre ni de ella (en el buzón, solo
aparece el número y la letra de su vivienda), y tampoco está a la venta. La empresa
terminó admitiendo que su fuente es el sitio web INGLOBALY, correspondiente a la
entidad QUALITY-PROVIDER S.A. con NIF A87407243 (en lo sucesivo el reclamado).
La reclamante considera que la obtención de los datos se ha realizado de manera
ilegal.
Se aporta:
- Hoja de reclamaciones ante la OMIC, cumplimentada por la afectada el 02/11/2021.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), el 19/11/2021 se dio traslado de dicha reclamación a la parte
reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo
de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos
en la normativa de protección de datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante, LPACAP) mediante notificación electrónica, no fue recogido por
el responsable, dentro del plazo de puesta a disposición, entendiéndose rechazada
conforme a lo previsto en el art. 43.2 de la LPACAP en fecha 30/11/2021, como consta
en el certificado que obra en el expediente.
Aunque la notificación se practicó válidamente por medios electrónicos, dándose por
efectuado el trámite conforme a lo dispuesto en el artículo 41.5 de la LPACAP, a título
informativo se envió una copia por correo postal que fue notificada fehacientemente en
fecha 03/01/2022. En dicha notificación, se le recordaba su obligación de relacionarse
electrónicamente con la Administración, y se le informaban de los medios de acceso a
dichas notificaciones, reiterando que, en lo sucesivo, se le notificaría exclusivamente
por medios electrónicos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/28
El reclamado dio respuesta al traslado el 26/01/2022 manifestando que:
Por un lado, considera que la Agencia es incompetente para tramitar esta reclamación,
que se está gestionando con un procedimiento inadecuado. Alega que la reciente
Directiva (UE) 2019/1937 de 23 de octubre de 2019, relativa a la protección de las
personas que informen sobre infracciones del Derecho de la Unión (citan art. 2.1.a
inciso x y letra J del Anexo Parte 1), ha modificado, entre otros, el RGPD, y que crea
un sistema de resolución de conflictos y simplificación administrativa diferente, dejando
obsoleta la LOPDGDD, que debería haberse adaptado a tal cambio. Cualquier
procedimiento relativo a protección de datos ha de efectuarse, a su modo de ver, de
conformidad con el procedimiento impuesto por la Directiva. Citan la URL de su buzón
de denuncias, https://box.viadenuncia.net/4380038759 (que está redactado
únicamente en catalán). Solicitan a la AEPD que se inhiba.
El artículo 2.1.a) y x) de la citada Directiva establece:
?Artículo 2. Ámbito de aplicación material
1. La presente Directiva establece normas mínimas comunes para la protección de las
personas que informen sobre las siguientes infracciones del Derecho de la Unión:
a) Infracciones que entren dentro del ámbito de aplicación de los actos de la Unión
enumerados en el anexo relativas a los ámbitos siguientes:
(?)
x) protección de la privacidad y de los datos personales, y seguridad de las redes y los
sistemas de información?
El anexo Parte I en su letra J), detalla:
?J. Artículo 2, apartado 1, letra a), inciso x) ? Protección de la privacidad y de los datos
personales, y seguridad de las redes y los sistemas de información:
i) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002,
relativa al tratamiento de los datos personales y a la protección de la intimidad en el
sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las
comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37)
ii) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de
4.5.2016, p. 1)?
Si su petición a la AEPD es desestimada, el representante manifiesta que no se aporta
en el traslado fotocopia del DNI de la reclamante a efectos de poder identificarla,
impidiéndoles conocer fehacientemente de qué persona física o jurídica se trata, y, por
tanto, conocer de qué datos se trata. Requieren aportación de dicha información. Citan
párrafos del artículo 12, y de que, si no pueden conocer la identidad del solicitante, no
pueden cumplir con su petición.
Se comprueba que la Directiva no se aplica en este caso: su artículo 4. Ámbito de
aplicación personal especifica que se aplicará a los denunciantes que trabajen en el
sector privado o público y que hayan obtenido información sobre infracciones en un
contexto laboral, planteadas por trabajadores, accionistas, etc., relaciones laborales ya
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/28
finalizadas o aún no iniciadas - tipo de denuncia que la LOPDGDD aborda en su art.
24.
TERCERO: Con fecha 04/02/2022, de conformidad con el artículo 65 de la LOPDGDD,
se admitió a trámite la reclamación presentada por la parte reclamante.
CUARTO: La Subdirección General de Inspección de Datos procedió a la realización
de actuaciones previas de investigación para el esclarecimiento de los hechos en
cuestión, en virtud de las funciones asignadas a las autoridades de control en el
artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)
2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de
conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la
LOPDGDD, teniendo conocimiento de los siguientes extremos:
Realizado requerimiento de información a QUALITY en fecha 01/04/2022, se recibe en
esta Agencia escrito de respuesta el 18/04/2022.
- El representante de QUALITY reitera la incompetencia de la AEPD según la Directiva
(UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019,
relativa a la protección de las personas que informen sobre infracciones del Derecho
de la Unión. Vuelven a citar el art. 2.1.a inciso x y Anexo Parte 1 letra J y lo contestado
al traslado y la referencia de nuevo a su canal de denuncias
https://box.viadenuncia.net/4380038759.
No obstante, en el caso de que esta alegación sea desestimada, formula las siguientes
alegaciones sobre la información requerida:
Reitera ?la imposibilidad de aportar información relativa a este expediente toda vez
que la reclamante no aporta fotocopia del documento nacional de identidad a los
efectos de poder identificarla, lo que impide conocer e identificar fehacientemente de
qué persona física o jurídica se trata y, por tanto, impide conocer de qué datos se
trata?.
Refiere ?que el propio artículo 12.2 del Reglamento (UE) 2016/679 (RGPD), impone
una cláusula de exención de responsabilidad a mi favor por no atender a la petición de
la persona interesada relativa a sus derechos derivados del RGPD. En este sentido, el
artículo 12.2 del RGPD estipula que el responsable del tratamiento no podrá negarse
a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los
artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar
al interesado.
Asimismo, el artículo 12.6 del Reglamento (UE) 2016/679 recoge que, cuando el
responsable del tratamiento tenga dudas razonables en relación a la identidad de la
persona física solicitante o reclamante, podrá solicitarle que facilite la información
adicional necesaria para confirmar la identidad del interesado?.
Además ?viene a formular solicitud de acreditación e identificación de la persona
reclamante, solicitando a esta Agencia que requiera la aportación de la fotocopia de su
documento nacional de identidad, dando traslado del mismo a esta parte con el fin de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/28
conocer y acreditar la identidad de la persona interesada en el expediente arriba
referenciado, al ostentar esta parte ciertas dudas sobre la identidad del reclamante?.
Alude que ?la procedencia de solicitar documentación acreditativa al solicitante cuando
existe una imposibilidad real de acreditar la identidad del reclamante también viene
impuesta y ha sido avalada por parte de la Agencia a la que me dirijo. Entre otros, en
el procedimiento de la AEPD núm. E/9130/2018, la Agencia archivó un procedimiento
sancionador al considerar que el responsable del tratamiento actuó adecuadamente
solicitando copia del DNI para poder atender la petición, en base a los artículos 12.1,
12.2 y 12.6 del RGPD relativos a la modalidad de ejercicio de los derechos del
interesado.
En dicho procedimiento, la Agencia concluyó que la postura del reclamado (el cual
había requerido DNI al solicitante y que se negó a facilitarlo) había sido ajustada en su
respuesta, al tratarse del ejercicio de un derecho personalísimo, no estimándose que
se hubiera producido infracción alguna en la normativa vigente de protección de datos,
tal y como ocurre en el presente supuesto. Y es que en los propios formularios de la
Agencia Española de Protección de Datos puede observarse un apartado en la
segunda página, cuya redacción expone:
?Será necesario aportar fotocopia del D.N.I. o documento equivalente que acredite la
identidad y sea considerado válido en derecho, en aquellos supuestos en que el
responsable tenga dudas sobre su identidad. En caso de que se actúe a través de
representación legal deberá aportarse, además, DNI y documento acreditativo de la
representación del representante.?
- ESTUDIO en respuesta al requerimiento de la Agencia de 25/04/2022:
Aporta factura de 24/09/2021 de QUALITY con ESTUDIO LA ALHÓNDIGA, S.L. (en lo
sucesivo LA ALHÓNDIGA) de un bono trimestral de 2.400 consultas en el periodo:
24/09/2021 al 23/12/2021.
Copia de la hoja de reclamaciones presentada por la parte reclamante
ESTUDIO explica su relación con ESTUDIO LA ALHÓNDIGA en C/ Leganés, 49 28904
GETAFE, Madrid (España):
?Uno de los administradores solidarios de la segunda (D. A.A.A. con D.N.I. ***DNI.1)
fue trabajador de la primera entre enero y junio de 20XX previo a la apertura de su
agencia de la cual es administrador. Como compañero (compartimos marca, aunque
sean dos sociedades franquiciadas e independientes) y antiguo empleado del
reclamado llegamos a un acuerdo privado y verbal entre ambas sociedades que
consiste en que cada año una de las sociedades contrata los servicios de QUALITY y
compartimos el acceso a su programa. De ahí a que la factura que adjuntamos está a
nombre de la sociedad ESTUDIO LA ALHÓNDIGA y no del reclamado.?
ESTUDIO explica su manera de contactar con la mayor parte de los propietarios de las
viviendas de las zonas que trabajan desde el reclamado:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/28
?Cada día (y cada mes pasamos una vez) los asesores van puerta por puerta en cada
portal entregando la revista de Tecnocasa (revista totalmente gratuita y que acepta la
mayoría de vecinos). En el caso en cuestión, al no encontrar en la vivienda de la calle
***DIRECCIÓN.1 de Getafe a nadie durante varios meses consecutivos al preguntar
por la propiedad de la misma a varios vecinos, estos nos comentan que la propietaria
que aparece en el registro (sacamos siempre una nota simple informativa previa para
verificar quién es la propiedad) ya había fallecido y que el otro propietario que aparece
en el registro está en muy mal estado de salud en una residencia para tercera edad.
Que estos tenían una hija que se llama A.A.A. y que vivía cerca de la
***DIRECCIÓN.2 de Getafe.
Después, teniendo el nombre de la hija (aportado por varios vecinos) y los apellidos de
ambos progenitores accedimos al programa de QUALITY PROVIDER S.A. y nos
apareció una coincidencia en nombre y apellidos con una vivienda cercana a la
ubicación que nos habían dado previamente los vecinos de la finca y, en ese
momento, procedemos a intentar contactar con esta persona para verificar si ella
pudiera tener relación con la vivienda de la Calle ***DIRECCIÓN.1 y, si fuera el caso,
ofrecerle nuestros servicios en caso de que le pudieran ser de interés.
Sus datos en ningún momento han estado ni están en nuestra base de datos, pues
ella desde el primer momento nos dijo que no nos daba autorización para ello?.
Mediante diligencia se incorpora al expediente la siguiente documentación:
- Política de privacidad del reclamado, ESTUDIO y TECNOCASA
- Aviso legal del reclamado y TECNOCASA
Se ha comprobado que la Política de privacidad del reclamado es la proporcionada en
el buzón de denuncias https://box.viadenuncia.net/4380038759, según la Directiva
(UE) 2019/1937.
QUINTO: Con fecha 25/01/2023, la Directora de la Agencia Española de Protección de
Datos acordó iniciar procedimiento sancionador al reclamado, por las presuntas
infracciones de los artículos 6.1 y 58.1 del RGPD, tipificadas en el artículo 83.5 letras
a) y e) del citado RGPD.
SEXTO: Notificado el acuerdo de inicio, transcurrido el plazo establecido el reclamado
no presentó escrito de alegaciones; no obstante, en fecha 17/02/2023 presentó escrito,
en el que en síntesis, proponía las siguientes pruebas: que se aportara la reclamación
de la afectada solicitando el ejercicio del derecho de supresión; que se aporte copia
del DNI de la reclamante; que se aporte documentación que acredite que el reclamado
tiene un fichero; que se aporte el certificado de defunción del padre de la reclamante.
Como alegación previa señalaba que el RGPD ha sido modificado plenamente por la
Directiva 2019/1937 que convierte al RGPD y LOPDGDD en papel mojado y apreciaba
en referencia a la misma una serie de razones importantes, hasta 15, por las que es
de aplicación.
Asimismo alegaba que no se ha recibido reclamación de la reclamante; que el artículo
12 del RGPD atribuye al reclamado cláusula de exención cuando no puede demostrar
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/28
que está en condiciones de acreditar la identificación del reclamante; que esto implica
ausencia de responsabilidad; que la AEPD en situaciones similares ha procedido al
archivo de las actuaciones; que quien debía cursar la denuncia era el padre de la
reclamante; que nos encontramos ante un delito de suplantación de personalidad; que
los datos fueron obtenidos de fuentes accesibles al público no siendo necesario el
consentimiento; que se han producido una serie de irregularidades cometidas por la
AEPD; que el procedimiento está caducado por transcurso de más de un año desde la
reclamación hasta la apertura del procedimiento; que la denuncia está prescrita; que el
cargo de la Directora está caducado por lo que se da una resunta usurpación para
puesto público; ausencia de colaboración de la Agencia en el presente caso, etc.
Posteriormente, el 13/03/2023 presentó nuevo escrito en el que se reiteraba lo ya
manifestado en el escrito anterior, y la inadecuación del procedimiento iniciado y la
incompetencia de la AEPD en la tramitación del presente asunto y, subsidiariamente,
para el caso que la presente alegación sea desestimada, enuncia prácticamente las
alegaciones del escrito anterior solicitando el archivo del procedimiento.
SEPTIMO: Con fecha 05/07/2023, se acordó la apertura de un período de práctica de
pruebas, acordándose las siguientes:
- Dar por reproducidos a efectos probatorios las reclamaciones interpuestas por
los reclamantes y su documentación, los documentos obtenidos y generados
por los Servicios de Inspección que forman parte del expediente.
- Dar por reproducido a efectos probatorios, las alegaciones al acuerdo de
inicio presentadas por el reclamado.
- Solicitar el DNI de la reclamante.
En fecha 21/07/2023 la reclamante dio respuesta a la prueba practicada cuyo
contenido obra en el expediente.
En relación con las pruebas propuestas por el reclamado no se consideran
necesarias ni pertinentes (la reclamante no ha ejercitado ningún derecho de los
establecidos en los artículos 15 a 22 y tampoco consta que el padre hubiera fallecido),
para la resolución del asunto.
OCTAVO: En fecha 26/07/2023 fue emitida Propuesta de Resolución en el sentido de
que por la Directora de la Agencia Española de Protección de Datos se sancionara al
reclamado por infracción de los artículos 6.1 y 58.1 del RGPD, tipificadas en los
artículos 83.5.a) y 83.5.e) del RGPD, con multas de 10.000 ? (diez mil euros) cada una
de ellas.
En fecha 10/08/2023 el reclamado presentó escrito de alegaciones a la citada
Propuesta alegando, en síntesis: que se ratifica en todos los escritos presentados a lo
largo del procedimiento, señalando que la AEPD carece de competencia para tramitar
estos procedimientos; discrepancia en cuanto a la duración de los procedimientos; que
el artículo 63 de la LPACAP señala que no se pueden iniciar nuevos procedimientos
de carácter sancionador en tanto no haya recaído una primera resolución
sancionadora, con carácter ejecutivo; que el importe de la sanción ha de ser efectivo,
proporcionado y disuasorio.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/28
NOVENO: De las actuaciones practicadas en el presente procedimiento, han quedado
acreditados los siguientes:
HECHOS PROBADOS
PRIMERO. El 04/11/2021 tiene entrada en la AEPD escrito de la reclamante en el que
manifiesta que el 02/11/2021 a las 18h, se presentó en su casa un trabajador de
Tecnocasa, dirigiéndose a mí por mi nombre y apellidos. Quería saber que vinculación
tenía con un piso situado en la c/ ***DIRECCIÓN.1; la reclamante cuestionó dicha
actuación ya que no existe información alguna, ni de su padre ni de ella, relacionada
con el inmueble; la entidad terminó admitiendo que su fuente es la web INGLOBALY,
correspondiente al reclamado, considerando que la obtención de los datos se ha
realizado de manera ilegal.
SEGUNDO. La reclamante ha aportado Hoja de reclamación ante la OMIC, Oficina
Municipal del Consumidor de Getafe, de fecha 02/11/2022, en la que se formulan las
manifestaciones del hecho anterior.
TERCERO. El reclamado en escrito de 26/01/2022, en contestación a los
requerimientos efectuados por la AEPD el 19/11/2021 y 01/12/2021 indicaba como
alegación previa la inadecuación del procedimiento incoado por la AEPD para la
tramitación del presente expediente; que ?Ello implica que cualquier procedimiento
relativo a protección de datos debe efectuarse de conformidad con el procedimiento
impuesto por la Directiva (UE) 2019/1937 y, por tanto, a través de los buzones de
denuncia, al gozar la Directiva de efecto directo y prevalencia respecto al derecho
nacional español?. Asimismo, considera ?que existe una inadecuación del
procedimiento iniciado con núm. de expediente EXP202104693, así como una
manifiesta incompetencia de la Agencia Española de Protección de Datos para la
tramitación del presente procedimiento en virtud de lo estipulado por la Directiva (UE)
2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa
a la protección de las personas que informen sobre infracciones del Derecho de la
Unión, la cual entró en vigor el 17 de diciembre de 2019. Es por ello que mediante el
presente escrito solicitamos que la misma se declare incompetente y se inhiba de la
tramitación del presente expediente?
Subsidiariamente, formulaba además las siguientes manifestaciones, en relación con
la información solicitada por la AEPD: Que estaba imposibilitado para aportar la
información relativa a este expediente toda vez que la reclamante no aportaba
fotocopia del DNI para poder identificarla y que hallándose en una posición de
imposibilidad probatoria el propio artículo 12.2 del Reglamento (UE) 2016/679 (RGPD),
imponía una cláusula de exención de responsabilidad a su favor por no atender la
petición de la persona interesada relativa a sus derechos derivados del RGPD.
Que en ese sentido y con la finalidad de colaborar en la investigación en curso,
solicitaba la acreditación e identificación de la persona reclamante y que la AEPD le
aportara la fotocopia de su DNI con el fin de conocer la identidad de la misma,
cuestión que ya había sido avalada por la propia Agencia en otros procedimientos,
entre ellos el archivo de actuaciones E/9130/2018.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/28
CUARTO. Constan realizados nuevos requerimientos de información al reclamado en
fechas 01/03/2022 y 01/04/2022; el 18/04/2022 respondía reiterando lo manifestado en
el escrito de que se contiene en el hecho anterior.
QUINTO. El representante de ESTUDIO, cuyo empleado se personó en el domicilio de
la reclamante, ha aportado factura de fecha 24/09/2021 emitida por el reclamado a la
mercantil ESTUDIO LA ALHÓNDIGA, S.L.U., de un bono trimestral de 2.400 consultas
en el periodo: 24/09/2021 al 23/12/2021; el representante de ESTUDIO señala su
relación con dicha factura que:
?Uno de los administradores solidarios de la segunda (D. A.A.A. con D.N.I. ***DNI.1)
fue trabajador de la primera entre enero y junio de 20XX previo a la apertura de su
agencia de la cual es administrador. Como compañero (compartimos marca aunque
sean dos sociedades franquiciadas e independientes) y antiguo empleado del
reclamado llegamos a un acuerdo privado y verbal entre ambas sociedades que
consiste en que cada año una de las sociedades contrata los servicios de QUALITY y
compartimos el acceso a su programa. De ahí a que la factura que adjuntamos está a
nombre de la sociedad ESTUDIO LA ALHÓNDIGA y no de ESTUDIO.?
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección
de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los
procedimientos tramitados por la Agencia Española de Protección de Datos se regirán
por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las
disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las
contradigan, con carácter subsidiario, por las normas generales sobre los
procedimientos administrativos."
II
El reclamado en su escrito de alegaciones al acuerdo de inicio plantea una
serie de excepciones de carácter material haciendo necesario referirse a las mismas
antes de entrar en la cuestión de fondo.
- Alega el reclamado que se ha producido la caducidad del procedimiento
sancionador por haber transcurrido más de un año desde la entrada de la reclamación
en la Agencia hasta la apertura del procedimiento.
Hay que señalar que las actuaciones previas se entenderán caducadas si,
transcurridos más de doce meses contados desde la fecha de admisión a trámite de la
reclamación, no se ha procedido a dictar y notificar el acuerdo de inicio de
procedimiento sancionador.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/28
El artículo 67 de la LOPDGDD determina lo siguiente, respecto a las
actuaciones previas de investigación:
?1. Antes de la adopción del acuerdo de inicio de procedimiento, y una vez
admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de
Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una
mejor determinación de los hechos y las circunstancias que justifican la tramitación del
procedimiento.
La Agencia Española de Protección de Datos actuará en todo caso cuando sea
precisa la investigación de tratamientos que implique un tráfico masivo de datos
personales.
2. Las actuaciones previas de investigación se someterán a lo dispuesto en la
Sección 2.ª del Capítulo I del Título VII de esta ley orgánica y no podrán tener una
duración superior a doce meses a contar desde la fecha del acuerdo de admisión a
trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia
Española de Protección de Datos actúe por propia iniciativa o como consecuencia de
la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado
miembro de la Unión Europea, conforme al artículo 64.3 de esta ley orgánica.?
El artículo 65, Admisión a trámite de las reclamaciones, de la LOPDGDD
establece:
?1. Cuando se presentase ante la Agencia Española de Protección de Datos
una reclamación, esta deberá evaluar su admisibilidad a trámite, de conformidad con
las previsiones de este artículo.
2. La Agencia Española de Protección de Datos inadmitirá las reclamaciones
presentadas cuando no versen sobre cuestiones de protección de datos personales,
carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios
racionales de la existencia de una infracción.
3. Igualmente, la Agencia Española de Protección de Datos podrá inadmitir la
reclamación cuando el responsable o encargado del tratamiento, previa advertencia
formulada por la Agencia Española de Protección de Datos, hubiera adoptado las
medidas correctivas encaminadas a poner fin al posible incumplimiento de la
legislación de protección de datos y concurra alguna de las siguientes circunstancias:
a) Que no se haya causado perjuicio al afectado en el caso de las infracciones
previstas en el artículo 74 de esta ley orgánica.
b) Que el derecho del afectado quede plenamente garantizado mediante la
aplicación de las medidas.
4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia
Española de Protección de Datos podrá remitir la misma al delegado de protección de
datos que hubiera, en su caso, designado el responsable o encargado del tratamiento
o al organismo de supervisión establecido para la aplicación de los códigos de
conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/28
La Agencia Española de Protección de Datos podrá igualmente remitir la
reclamación al responsable o encargado del tratamiento cuando no se hubiera
designado un delegado de protección de datos ni estuviera adherido a mecanismos de
resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá
dar respuesta a la reclamación en el plazo de un mes.
5. La decisión sobre la admisión o inadmisión a trámite, así como la que
determine, en su caso, la remisión de la reclamación a la autoridad de control principal
que se estime competente, deberá notificarse al reclamante en el plazo de tres meses.
Si transcurrido este plazo no se produjera dicha notificación, se entenderá que
prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este Título a
partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo
entrada en la Agencia Española de Protección de Datos?.
Consta en el Antecedente Primero, como fecha de interposición de la
reclamación el 04/11/2021. Asimismo, consta en el Antecedente Tercero que la
admisión a trámite de la reclamación se produjo el 04/02/2022 (dies a quo);
posteriormente, como consta en el Antecedente Cuarto se procedió a la realización de
actuaciones previas de investigación para el esclarecimiento de los hechos,
acordándose iniciar procedimiento sancionador notificándoselo al reclamado en fecha
25/01/2023 (dies ad quem).
Por tanto, en virtud de lo anteriormente expuesto no pueden considerarse
caducadas dichas actuaciones, desestimándose la alegación formulada.
- Alega el reclamado que se ha producido la prescripción de la infracción por
transcurso del tiempo desde su producción.
De conformidad con lo señalado en los artículos 72 a 74 de la LOPDGDD, los
plazos de prescripción, teniendo en cuenta el tipo de infracción, son los siguientes:
Tres años para las infracciones consideradas muy graves (artículo 72 de la
LOPDGDD).
Dos años para las infracciones consideradas graves (artículo 73 de la
LOPDGDD).
Un año para las infracciones consideradas leves (artículo 74 de la LOPDGDD).
En cuanto al cómputo del plazo la LOPDGDD no hace referencia alguna al
respecto. No obstante, el artículo 30.2 de la Ley 40/2015, de 1 de octubre, de Régimen
Jurídico del Sector Público, señala que ?el plazo de prescripción de las infracciones
comenzará a contarse desde el día en que la infracción se hubiera cometido. En el
caso de infracciones continuadas o permanentes, el plazo comenzará a correr desde
que finalizó la conducta infractora?.
Teniendo en cuenta que tanto la infracción del artículo 6.1, como la del artículo
58.1, ambos del RGPD son consideradas como muy graves y que la infracción primera
se cometió el 02/11/2021 y la segunda, tras los reiterados incumplimientos a los
requerimientos de información solicitados por la inspección durante el periodo de
actuaciones previas, implica que no ha transcurrido el plazo de tres años para ninguna
de ambas infracciones, por lo que ninguna de ellas ha prescrito.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/28
-Alega el reclamado referencias continuas a que la Directiva del Parlamento
Europeo 2019/1937, de 23 de octubre de 2019 y que su transposición ha dejado en
papel mojado al RGPD y la LOPDGDD.
Hay que informar que la citada Directiva garantiza la protección efectiva de los
denunciantes cuando informen, entre otras, sobre infracciones en materia de
contratación pública, productos financieros, mercado interior, prevención del blanqueo
de capitales, protección del medio ambiente, seguridad alimentaria, salud pública,
bienestar animal, protección de los consumidores y privacidad. La norma es aplicable
a los denunciantes que trabajen en el sector privado o público y hayan obtenido
información en un contexto laboral, incluyendo trabajadores, funcionarios, directivos,
accionistas, voluntarios y trabajadores en prácticas. Los Estados miembros deberán
poner en vigor las disposiciones necesarias para el cumplimiento de la Directiva a más
tardar el 17/12/2021.
La Directiva se traspuso al ordenamiento jurídico español a través de la Ley
2/2023, de 20 de febrero, reguladora de la protección de las personas que informen
sobre infracciones normativas y de lucha contra la corrupción.
Su artículo 1 de la Directiva señala que tiene por objeto reforzar la aplicación
del Derecho y las políticas de la Unión en ámbitos específicos mediante el
establecimiento de normas mínimas comunes que proporcionen un elevado nivel de
protección de las personas que informen sobre infracciones del Derecho de la Unión,
siendo el ámbito de aplicación personal el recogido en su artículo 4 donde se
circunscribe a los denunciantes que trabajen en el sector privado o público y que
hayan obtenido información sobre infracciones en un contexto laboral.
Asimismo, en su artículo 17 se recoge que todo tratamiento de datos
personales realizado en aplicación de la presente Directiva, incluido el intercambio o
transmisión de datos personales por las autoridades competentes, se realizará de
conformidad con el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680.
Así, el principal objetivo de esta Directiva es proteger a quienes denuncien
infracciones o irregularidades en una empresa a través de un canal específico sin que
haya represalias.
Por su parte, el primer apartado del artículo 1 del RGPD proclama que el
Reglamento establece las normas relativas a la protección de las personas físicas en
lo que respecta al tratamiento de los datos personales y las normas relativas a la libre
circulación de tales datos. Añade su segundo apartado que protege los derechos y
libertades fundamentales de las personas físicas y, en particular, su derecho a la
protección de los datos personales.
Con relación al ámbito de aplicación material del RGPD, se circunscribe a lo
preceptuado en su artículo 2 donde se concreta en su primer apartado que es de
aplicación al tratamiento total o parcialmente automatizado de datos personales, así
como al tratamiento no automatizado de datos personales contenidos o destinados a
ser incluidos en un fichero.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/28
A mayor abundamiento, el artículo 51.1 del RGPD estipula que cada Estado
miembro establecerá que sea responsabilidad de una o varias autoridades públicas
independientes (en adelante «autoridad de control») supervisar la aplicación del
presente Reglamento, con el fin de proteger los derechos y las libertades
fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la
libre circulación de datos personales en la Unión, desarrollando las funciones de cada
autoridad de control en su artículo 57.
Por su parte, la LOPDGDD en su artículo 47 establece las funciones y
potestades de la Agencia Española de Protección de Datos, entre las que se
encuentra supervisar la aplicación del RGPD y en su Título VIII se regulan los
procedimientos en caso de posible vulneración de la normativa de protección de datos.
Por lo tanto, la Directiva (UE) 2019/1937, al contrario de lo afirmado por el
reclamado no modifica el RGPD ni deja obsoleta la LOPDGDD, adoleciendo el
reclamado de un exceso de voluntarismo normativo, sino que se trata de una norma
con un objeto y ámbito de aplicación claramente distinto al del RGPD y, por ende, a la
LOPDGDD. Así, lo alegado por QUALITY respecto a la inadecuación del
procedimiento incoado por la Agencia Española de Protección de Datos para la
tramitación del presente expediente, carece totalmente de fundamento.
- Alega el reclamado la incompetencia de la AEPD para la tramitación del
presente asunto; hay que señalar que el artículo 47 de la LOPDGDD establece que:
?Corresponde a la Agencia Española de Protección de Datos supervisar la
aplicación de esta ley orgánica y del Reglamento (UE) 2016/679 y, en particular,
ejercer las funciones establecidas en el artículo 57 y las potestades previstas en el
artículo 58 del mismo reglamento, en la presente ley orgánica y en sus disposiciones
de desarrollo.
Asimismo, corresponde a la Agencia Española de Protección de Datos el
desempeño de las funciones y potestades que le atribuyan otras leyes o normas de
Derecho de la Unión Europea?.
- Alega el reclamado que carece de datos personales de la reclamante,
acusando a la AEPD de falta de rigor jurídico.
Al respecto se señala que las presuntas infracciones por la que se inicia este
procedimiento sancionador están relacionadas con la licitud del tratamiento de los
datos de la reclamante por el reclamado. Tratamiento que resulta acreditado de las
manifestaciones realizadas no solo por la reclamante sino también por la inmobiliaria
implicada. Además, la actividad de tratamiento de datos personales del reclamado ha
resultado ya acreditada en resoluciones firmes de esta Agencia, como la del
procedimiento sancionador EXP202103457. Por ello, en el presente caso el reclamado
habrá de acreditar el tratamiento de datos de personales de la reclamante si considera
que estaba legitimado para ello.
- Alega el reclamado que la obstrucción a la labor inspectora de esta Agencia
no existe debido a que el Real Decreto 389/2021, de 1 de junio, suprime la Inspección
de Datos, olvida QUALITY que, aunque la Inspección de Datos como órgano directivo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/28
quede suprimida, en su lugar, es la Subdirección General de Inspección de Datos el
órgano equivalente en la estructura orgánica de esta Agencia, definiéndose en el
artículo 27 de dicho Real Decreto sus competencias y funciones, y por lo tanto, esta
Subdirección mantiene vigentes sus competencias tal como se recoge en dicho
artículo.
- Alega el reclamado que la Directora no está legitimada para abordar la
presente cuestión al haber caducado su mandato y la supuesta usurpación para
puesto público.
Baste recordarle al reclamado lo señalado por la Audiencia Nacional en
Sentencia de 09/12/2022:
?En primer lugar, alega la nulidad de pleno derecho de la resolución recurrida
ex artículo 47.1 de la Ley 39/2015, de 1 de octubre, por manifiesta incompetencia de
la persona firmante de la misma, al haber expirado su mandato, por cumplirse 4 años
desde la fecha de su nombramiento, y también porque la condición en que se dictó era
inexistente al tiempo de adoptarse, conforme a lo establecido en la Disposición
adicional única del Real Decreto 389/2021, por el que se aprueba el Estatuto de la
Agencia Española de Protección de Datos.
A tal fin señala, que según el artículo 14.3 del Estatuto de la Agencia de 1993
aquí aplicable, el mandato del Director de la Agencia de Protección de Datos tendrá
una duración de cuatro años contados desde su nombramiento y sólo cesará en las
causas previstas en el art. 15 de dicho Estatuto. Indica que, en este punto, el Estatuto
de 1993 se diferencia del aprobado por Real Decreto 389/2021, de 1 de junio, cuyo
artículo 12.3 sí dispone que la persona titular de la Presidencia cesante continuará en
funciones hasta la toma de posesión de la nueva persona titular de la Presidencia ,
pero dado que no prevé ninguna norma transitoria al respecto, al igual que tampoco se
preveía en la LOPDGDD sobre el desempeño en funciones del puesto del Director de
la AEPD hasta la nueva designación del nuevo Presidente de la misma, el mandato de
la Directora, cuyo nombramiento se efectuó el 24 de julio de 2015 (publicado en el
BOE de 25 de julio de 2015), expiró el 24 de julio de 2019, al cumplirse cuatro años
desde su nombramiento.
Y habiéndose producido el cese en sus funciones como Directora de la AEPD,
carecía de competencia para dictar el acuerdo de inicio del expediente en que recayó
la resolución recurrida, de 7 de octubre de 2020, y propia resolución impugnada, cita
las SST de 16 de junio 2017 dictadas en los Rec. 1585/2016 y Rex. 1655/2016, y 20
de junio 2017 (Rec. 2463/2016).
Además, esgrime que conforme lo establecido en la Disposición adicional única
del Real Decreto 389/2021, por el que se aprueba el Estatuto de la Agencia Española
de Protección de Datos, se suprime el órgano directivo Director de la AEPD, por lo
que, a su entender, y ante la ausencia de disposición transitoria que prevea el
mantenimiento de dicho puesto, todos los actos administrativos dictados por la
Directora de la AEPD incurrirían, adicionalmente, en un vicio de legalidad que deriva
de la inexistencia del órgano que los ha dictado.
Por su parte, el Abogado del Estado aduce que ni la LOPD de 1999 ni la
LOPDGDD contemplan un término automático del mandato, de tal forma que cuando
se cumple el término del mandato para el que fue nombrada la Directora deja de tener
competencia alguna, sino que es necesario un Real Decreto de cese, sin que pueda
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/28
abandonar el cargo por su propia voluntad si no ha habido Real Decreto de cese del
Gobierno.
Que esto es así, lo demuestra no solo el hecho de que ninguno de los
Directores de la AEPD ha cesado en su cargo por el mero transcurso del tiempo,
habiéndose requerido R.D también para el cese, sino que en ningún caso se ha
producido el "abandono" del cargo por su titular al llegar el cuarto aniversario del
nombramiento. De hecho, el abandono del servicio se consideraba delito hasta el
Código Penal de 1995, que despenaliza dicha conducta en su mayor parte, sin
embargo, constituye una infracción administrativa (falta disciplinaria muy grave), art.
95.2 del texto refundido de la Ley del Estatuto Básico del Empleado Público aprobado
por Real Decreto Legislativo, de 30 de octubre, o art. 6.c) del Reglamento de Régimen
Disciplinario de los Funcionarios de la Administración Civil del Estado, aprobado por
RD 33/1986, de 10 de enero.
Añade que, en cualquier caso, existe el principio general del derecho de la
conservación en el nombramiento del cargo, por lo que, en el nuevo Estatuto de la
AEPD, para evitar estas especulaciones, se establece expresamente que la persona
titular de la Presidencia continuará en funciones hasta la toma de posesión del nuevo
titular de la Presidencia.
Finalmente, esgrime que las sentencias citadas por el recurrente no son
aplicables al presente caso, en que respecto del Director de la AEPD el legislador ni
establece la caducidad automática del nombramiento, ni así se ha entendido por el
Gobierno, ni tampoco prevé la necesidad de un acuerdo expreso de prórroga o la
convocatoria de un concurso, para que el nombramiento, llegado el plazo para el que
fue nombrado, continúe en sus efectos.
Expuestas las posturas de las partes, debemos partir del art 53, apartado 3, del
RGPD, en cuanto indica que los miembros de la autoridad de control " darán por
concluidas sus funciones en caso de terminación del mandato, dimisión o jubilación
obligatoria, de conformidad con el Derecho del Estado miembro de que se trate".
En el ámbito interno, el artículo 36.1 de la Ley Orgánica 15/1999, de 13 de
diciembre (LOPD), que es la normativa vigente cuando se efectúa el nombramiento de
la Directora de la AEPD, establece que el Director de la AEPD será nombrado
mediante Real Decreto, por un periodo de cuatro años y el apartado 3 del mismo
precepto, señala que antes de la expiración de dicho plazo, el Director de la AEPD
solo cesará, a petición propia o por separación acordada por el Gobierno por
incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio
de su función, incompatibilidad o condena por delito doloso.
Es decir, transcurrido ese término de 4 años, el Gobierno puede cesar al
Director sin necesidad de causa, pero ello no implica que cuando se cumple ese plazo
su cargo automáticamente deje de tener efectividad y de tener funciones o
competencia alguna, pues eso no resulta expresamente de la citada LOPD, ni
tampoco de la Ley Orgánica 3/2018. de 5 de diciembre (LOPDCDD), en su art. 48
respecto de la Presidencia de la AEPD.
Así se ha entendido y venido haciendo por todos los Gobiernos que proceden a
cesar expresamente a los Directores de la AEPD mediante Real Decreto, aún, cuando
su plazo de nombramiento hubiera expirado, sin que sus cargos dejasen de tener
efectividad, en funciones, hasta sus respectivos ceses y los coetáneos nombramientos
de sus sucesores en el cargo, para evitar vacíos en la institución.
Ello obedece a los principios de responsabilidad y continuidad de las
instituciones, para evitar que la institución quede inoperativa cuando no se ha
producido el nombramiento en el cargo de una nueva persona.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/28
El legislador podía haber establecido expresamente la previsión automática de
decaimiento del cargo, esto es, que la efectividad en el cargo cesa en el mismo
momento del cumplimiento del plazo, pero no lo ha hecho ni en la LOPD ni en la
vigente LOPDGDD, ni tampoco en el RD 389/2021, de 1 de junio de 2021, por el que
se aprueba el nuevo Estatuto de la AEPD, que precisamente en el artículo 12.3
establece " la persona titular de la Presidencia cesante continuará en funciones hasta
la toma de posesión de la nueva persona titular de la Presidencia", sin establecer
limitación alguna en cuanto al ejercicio de sus funciones o competencias durante el
periodo en funciones, que tampoco se establecía en la normativa anterior.
Por tanto, no habiéndose establecido limitaciones a la actuación del Director de
la AEPD en funciones, a diferencia de lo que, a título de ejemplo, sucede en el artículo
21.2 de la Ley 50/1997, de 27 de noviembre, del Gobierno, que establece que el
Gobierno " continúa en funciones hasta la toma de posesión del nuevo Gobierno, con
las limitaciones establecidas en esta Ley", la Directora de la AEPD ostenta
competencia para dictar la resolución impugnada, así como el acuerdo de inicio del
procedimiento sancionador.
Así las cosas, no cabe tildar de inexistente la condición en virtud de la cual la
Directora de la AEPD dictó el acto recurrido.
De otro lado, la doctrina establecida por el Tribunal Supremo en las citadas
sentencias versa sobre un supuesto que no guarda ninguna similitud con el caso de
autos, por lo que no resulta aquí aplicable.
Efectivamente, dichas sentencias tratan sobre el Decreto 123/1997, de 13 de
mayo, por el que se aprueba el Reglamento general de puestos de trabajo y
promoción profesional de los funcionarios de la Administración de la Generalidad de
Cataluña, y se refieren a una cobertura provisional del puesto, mediante la figura del
encargo de funciones, por la existencia de urgencia. Decreto autonómico que prevé
específicamente que dicho nombramiento quedará automáticamente sin efecto, si en
el plazo de 6 meses no se ha convocado concurso para la provisión del puesto de
trabajo y además que dicho funcionario no podrá continuar en el ejercicio de sus
funciones, situación ésta distinta de la prevista para el Director de la AEPD, ya que en
el Estatuto anterior no se mencionaba esta eventualidad y el actual prevé
expresamente la extensión de sus funciones.
El motivo, en consecuencia, debe ser desestimado?.
III
- El reclamado, en alegaciones a la Propuesta de Resolución, insiste en
relacionar a la reclamante con el ejercicio de alguno de los derechos contemplados en
el RGPD, artículos 15 a 22, manifestando que le resulta curioso, que no solicitara por
su buzón de denuncias el ejercicio de sus derechos, no constando sin embargo entre
los solicitantes de los mismos.
De la documentación aportada se desprende que la reclamante no ha
ejercitado ninguno de los derechos que se recogen en los citados artículos; se le
recuerda al reclamado que el escrito formulado por la reclamante plantea el
tratamiento de sus datos de carácter personal sin que figure ninguna de las bases
legales a las que se refiere el artículo 6.1 del RGPD, a lo que hay que añadir la
infracción del artículo 58.1 motivado por el comportamiento del reclamado negándose
a informar sobre los datos personales de la reclamante y a colaborar con la actuación
llevada a cabo por el Servicio de Inspección.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/28
- También el reclamado ha alegado que el artículo 63.3 de la LPACAP
establece el principio de que no se pueden iniciar nuevos procedimientos de carácter
sancionador en tanto no haya recaído una primera resolución sancionadora.
Sin embargo, tal alegato no puede ser admitido; sobre dicha cuestión ya se ha
pronunciado la A.N. en algunas de sus sentencias, entre otras la de 12/02/2019, rec.
810/2016, en cuyo Fundamento Sexto señalaba: ?Se alega en la demanda la violación
del artículo 4.6 del Real Decreto 1398/1993, de 4 de agosto , por el que se aprueba el
Reglamento de procedimiento para el ejercicio de la potestad disciplinaria que dispone
que "No se podrán iniciar nuevos procedimientos sancionadores por hechos o
conductas tipificados como infracciones en cuya comisión el infractor persista de
forma continuada, en tanto no haya recaído una primera resolución sancionadora de
los mismos, con carácter ejecutivo.
Asimismo, será sancionable, como infracción continuada, la realización de una
pluralidad de acciones u omisiones que infrinjan el mismo o semejantes preceptos
administrativos, en ejecución de un plan preconcebido o aprovechando idéntica
ocasión.
Aunque este Reglamento ha sido derogado por la Ley 39/2015, de 1 de
octubre (Disposición Derogatoria Única), que incorpora el contenido de su primer
párrafo en el artículo 63.3 ., resultaría de aplicación al procedimiento administrativo
ratione temporis en aplicación de lo dispuesto en la Disposición Transitoria Tercera de
la Ley 39/2015 , que aún no había entrado en vigor en la fecha de la resolución aquí
impugnada.
Así, a juicio de la demandante, al incoarse el procedimiento ya tramitaba la
Agencia expedientes sancionadores aún sin resolver, por infracción de los mismos
artículos 6 y 44.3 b) LOPD , por hechos idénticos, consistentes en el envío de
documentación comercial de PLENISAN con datos de ficheros de Macro Select Print
para la convocatoria de un acto de promoción de productos de aquélla; tal infracción la
coloca en una posición jurídica mucho más gravosa al suponer la imposición de una
multa por cada denuncia y vulnera el principio de igualdad, al actuar de forma distinta
a como lo ha hecho en casos análogos, de los que cita, como ejemplo, el
PS/621/2012, en que se acumularon cinco denuncias en un solo procedimiento, y
considera infringido, también, el principio de seguridad jurídica y el de confianza
legítima.
La alegación no puede ser estimada; en primer lugar, como ha declarado el
Tribunal Supremo en su sentencia de 28 de junio de 2013 R. 1947/2010 , que cita otra
anterior de 30 de noviembre de 2004 (R. 6573/2001), "[...] para apreciar la infracción
continuada en el ámbito del Derecho administrativo sancionador, que constituye una
transposición de los contornos jurídicos de esta institución referidos en el artículo 74
del Código Penal , se exige que concurran con carácter general los siguientes
requisitos:
a) La ejecución de una pluralidad de actos por el mismo sujeto responsable,
próximos en el tiempo, que obedezcan a una práctica homogénea en el modus
operandi por la utilización de medidas, instrumentos o técnicas de actuación similares.
b) La actuación del responsable con dolo unitario, en ejecución de un plan
previamente concebido que se refleja en todas las acciones plurales que se ejecutan o
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/28
con dolo continuado, que se proyecta en cada uno de los actos ejecutados al
renovarse la voluntad infractora al presentarse una ocasión idéntica a la precedente.
Y c) La unidad del precepto legal vulnerado de modo que el bien jurídico
lesionado sea coincidente, de igual o semejante naturaleza [...]".
La concurrencia de estos requisitos ha de ser debidamente acreditada por
quien pretende la aplicación de la norma por serle más beneficiosa, lo que no ha
sucedido en este caso en que únicamente cabría admitir el cumplimiento de lo
dispuesto en los apartados a) y c); hay que tener en cuenta, además, la particular
naturaleza del bien jurídico protegido por las normas, que son los datos personales de
las personas físicas, que, como ha declarado el Tribunal Constitucional en su
sentencia 292/2000, de 30 de noviembre , es un derecho fundamental, consagrado en
el artículo 18.4 de la Constitución Española que, a diferencia del derecho a la
intimidad del art. 18.1 CE , con el que comparte el objetivo de ofrecer una eficaz
protección constitucional de la vida privada personal y familiar, persigue garantizar a
esa persona un poder de control sobre sus datos personales, sobre su uso y destino,
con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derechos del
afectado.
En este sentido, la utilización sin consentimiento de los datos personales
constituye una infracción individualizada, con independencia de que esa utilización o
tratamiento de datos se lleve a cabo en el marco de una campaña publicitaria
contratada entre diversas empresas, como las sancionadas en este procedimiento, y
en otros muchos de los que ha conocido esta Sala, con múltiples destinatarios
seleccionados en función de las características del producto y de las personales de los
destinatarios; todo lo más, cabría apreciar la existencia de infracción continuada si, en
el marco de tal campaña, los datos personales de un mismo titular fueran objeto de
tratamiento inconsentido en diferentes ocasiones próximas en el tiempo, no, como
ahora se trata, de diferentes destinatarios dentro de la misma o diferentes campañas,
a los que no resulta de aplicación la figura de la infracción continuada.
(?)?
- Por último, el reclamado realiza un alegato en relación con que las multas han
de ser efectivas, proporcionadas y disuasorias.
El artículo 83.1 del RGPD previene que ?Cada autoridad de control garantizará
que la imposición de las multas administrativas con arreglo al presente artículo por las
infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en
cada caso individual efectivas, proporcionadas y disuasoria?.
Las multas por tanto según se deduce del precepto han de ser efectivas,
proporcionadas y disuasorias para la consecución de la finalidad pretendida por el
RGPD.
Para que dicho sistema funcione con todas sus garantías es necesario que
varios elementos se desplieguen de forma íntegra y completa. La aplicación de reglas
ajenas al RGPD respecto de la determinación de las multas en cada uno de los
Estados miembros aplicando su derecho nacional, ya sea por circunstancias
agravantes o atenuantes no previstas en el RGPD -o en la LOPDGDD en el caso
español al permitirlo el propio RGPD-, restaría efectividad al sistema que perdería su
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/28
sentido, su finalidad teleológica, la voluntad del legislador, resultando que las multas
impuestas por distintas infracciones dejarían de ser efectivas, proporcionadas y
disuasorias. Y de esta forma también se hurtaría a los interesados de la garantía
efectiva de sus derechos y libertades, debilitando la aplicación uniforme del RGPD. Se
disminuirían los mecanismos de protección de los derechos y las libertades de los
ciudadanos y sería contrario con el espíritu del RGPD.
El RGPD está dotado de su propio principio de proporcionalidad que ha de ser
aplicado en sus estrictos términos.
En el Título VIII de la LOPDGDD relativo a ?Procedimientos en caso de posible
vulneración de la normativa de protección de datos?, el artículo 63 que abre el Título
dispone en su apartado segundo que "Los procedimientos tramitados por la Agencia
Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE)
2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas
en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las
normas generales sobre los procedimientos administrativos." Si bien existe una
remisión clara a la LPACAP, no se establece en absoluto una aplicación subsidiaria
respecto de la LRJSP que no contiene en su articulado disposición alguna relativa a
procedimiento administrativo alguno.
De igual forma que la AEPD no está aplicando los agravantes y atenuantes
dispuestos en el artículo 29 de la LRJSP, puesto que el RGPD establece los suyos
propios, por ende, no hay laguna legal ni aplicación subsidiaria del mismo.
En cuanto al principio de proporcionalidad de las sanciones, la A.N. en
numerosas sentencias ha señalado que el principio de proporcionalidad no puede
sustraerse al control jurisdiccional, pues el margen de apreciación que se otorga a la
Administración en la imposición de sanciones dentro de los límites legalmente
previstos, debe ser desarrollado ponderando en todo caso, las circunstancias
concurrentes, al objeto de alcanzar la necesaria y debida proporción entre los hechos
imputados y la responsabilidad exigida, dado que toda sanción, debe determinarse en
congruencia con la entidad de la infracción cometida y según un criterio de
proporcionalidad en relación con las circunstancias del hecho. De modo que la
proporcionalidad constituye un principio normativo que se impone a la Administración y
que reduce el ámbito de sus potestades sancionadoras.
Pues bien, de conformidad con las circunstancias que concurren en el presente
caso la resolución no vulnera el principio de proporcionalidad en la determinación de
las sanciones impuestas, resultando ponderada y proporcionada a la gravedad de la
infracción cometida, la importancia de los hechos, así como las circunstancias tenidas
en cuenta para graduar la sanción, sin que se aprecien razones que justifiquen aún
más la minoración efectuada, máxime teniendo en cuenta la cuantía a la que pueden
ascender dichas sanciones de conformidad con el art. 83.5.b) y 83.5.e) del RGDP, que
prevén tanto para la infracción del artículo 6.1 como del artículo 58.1 del RGDP, "?
multas administrativas de 20 000 000 EUR como máximo o, as de una empresa, de
una cuantía equivalente al 4 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía?.
IV
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/28
Los hechos denunciados se materializan en el tratamiento de los datos de la
reclamante de manera ilegitima, considerando que su obtención se ha realizado de
manera ilegal, lo que podría vulnerar la normativa en materia de protección de datos
de carácter personal, además de obstaculizar las labores de investigación.
El artículo 58 del RGPD, Poderes, señala:
?2. Cada autoridad de control dispondrá de todos los siguientes poderes
correctivos indicados a continuación:
(?)
d) ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando
proceda, de una determinada manera y dentro de un plazo especificado;
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en
lugar de las medidas mencionadas en el presente apartado, según las
circunstancias de cada caso particular;
(?)?
El artículo 6, Licitud del tratamiento, del RGPD en su apartado 1, establece
que:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos
personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el
interesado es parte o para la aplicación a petición de este de medidas
precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal
aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o
de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable
del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre que
sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales,
en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al
tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones?.
Por otra parte, el artículo 4 del RGPD, Definiciones, en sus apartados 1, 2 y 11,
señala que:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/28
?1) «datos personales»: toda información sobre una persona física identificada
o identificable («el interesado»); se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en particular
mediante un identificador, como por ejemplo un nombre, un número de identificación,
datos de localización, un identificador en línea o uno o varios elementos propios de la
identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha
persona;
?2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas
sobre datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación de
acceso, cotejo o interconexión, limitación, supresión o destrucción;
?11) «consentimiento del interesado»: toda manifestación de voluntad libre,
específica, informada e inequívoca por la que el interesado acepta, ya sea mediante
una declaración o una clara acción afirmativa, el tratamiento de datos personales que
le conciernen?.
V
1. Hay que señalar que el tratamiento de datos requiere la existencia de una
base legal que lo legitime.
De conformidad con el artículo 6.1 del RGPD, además del consentimiento,
existen otras posibles bases que legitiman el tratamiento de datos sin necesidad de
contar con la autorización de su titular, en particular, cuando sea necesario para la
ejecución de un contrato en el que el afectado es parte o para la aplicación, a petición
de este, de medidas precontractuales, o cuando sea necesario para la satisfacción de
intereses legítimos perseguidos por el responsable del tratamiento o por un tercero,
siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y
libertades fundamentales del afectado que requieran la protección de tales datos. El
tratamiento también se considera lícito cuando sea necesario para el cumplimiento de
una obligación legal aplicable al responsable del tratamiento, para proteger intereses
vitales del afectado o de otra persona física o para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos al
responsable del tratamiento.
En el presente caso, no consta acreditada base de legitimación alguna de las
prevista en el artículo 6.1 del RGPD para el tratamiento de los datos personales de la
reclamante.
2. En el presente supuesto, los hechos traen causa del uso de los datos
personales de la reclamante a raíz de la visita que recibe de un empleado de
inmobiliaria para promocionar los servicios de alquiler o venta en relación con un
inmueble propiedad de su padre; la reclamante cuestionó dicha actuación al no existir
ninguna información que permitiera elucubrar acerca del posible alquiler o venta de la
misma, manifestando el citado empleado que los mismos fueron obtenidos de
Inglobaly, perteneciente al reclamado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/28
Según consta en los hechos probados el representante de la inmobiliaria
ESTUDIO, cuyo empleado se personó en el domicilio de la reclamante, aporta factura
de 24/09/2021 de QUALITY con ESTUDIO LA ALHÓNDIGA, S.L. de un bono trimestral
de 2.400 consultas en el periodo: 24/09/2021 al 23/12/2021, de lo que se desprende
que al menos entre estas fechas el reclamado trató los datos de la reclamante por lo
que la infracción se cometió en este periodo.
Además, señala que: ?Uno de los administradores solidarios de la segunda (D.
A.A.A. con D.N.I. ***DNI.1) fue trabajador de la primera entre enero y junio de 20XX
previo a la apertura de su agencia de la cual es administrador. Como compañero
(compartimos marca aunque sean dos sociedades franquiciadas e independientes) y
antiguo empleado del reclamado llegamos a un acuerdo privado y verbal entre ambas
sociedades que consiste en que cada año una de las sociedades contrata los servicios
de QUALITY y compartimos el acceso a su programa. De ahí a que la factura que
adjuntamos está a nombre de la sociedad ESTUDIO LA ALHÓNDIGA y no de
ESTUDIO? (el subrayado es de la AEPD).
A este respecto debe señalarse que el reclamado en escrito de 20/02/2023 ha
manifestado en relación con el origen de los datos ?que se trata de datos adquiridos
por el reclamado y obtenidos de la entidad Telefónica a través de fuentes accesibles al
público desde el año 2004?.
3. Hay que señalar, que el concepto de ?fuentes de acceso público? no figura en
el vigente RGPD como base legitimadora, con lo que se aplica en todo caso la
necesidad de acreditar una base que conforme establece el artículo 6.1 del RGPD
legitime el tratamiento de los datos.
En caso de considerar que se han obtenido legítimamente los datos al haberse
obtenido de un tercero, no del propio interesado, el reclamado para actuar acorde a
derecho debió comunicar la obtención de los datos a la reclamante, ya sea en el
momento en que los obtuvieron o bien cuando los utilizaron con fines comerciales, o
bien en el momento en que los datos personales sean comunicados por primera vez, y
en todo caso en el plazo máximo de un mes, de conformidad con el artículo 14 RGPD.
Este comportamiento del reclamado supone la vulneración del artículo 6.1 del
RGPD, por entender que nos encontramos ante un tratamiento ilegítimo de datos.
VI
La infracción que se le atribuye a la reclamada se encuentra tipificada en el
artículo 83.5 a) del RGPD, que considera que la infracción de ?los principios básicos
para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los
artículos 5, 6, 7 y 9? es sancionable, de acuerdo con el apartado 5 del mencionado
artículo 83 del citado Reglamento, ?con multas administrativas de 20.000.000? como
máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como
máximo del volumen de negocio total anual global del ejercicio financiero anterior,
optándose por la de mayor cuantía?.
La LOPDGDD en su artículo 71, Infracciones, señala que: ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/28
artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la
presente ley orgánica?.
Y en su artículo 72, considera a efectos de prescripción, que son: ?Infracciones
consideradas muy graves:
1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que
supongan una vulneración sustancial de los artículos mencionados en aquel y, en
particular, las siguientes:
(?)
b) El tratamiento de datos personales sin que concurra alguna de las
condiciones de licitud del tratamiento establecidas en el artículo 6 del
Reglamento (UE) 2016/679.
(?)?
VII
El artículo 58, Poderes, del RGPD establece en sus apartados 1 y 3 que:
1. Cada autoridad de control dispondrá de todos los poderes de investigación
indicados a continuación:
a) ordenar al responsable y al encargado del tratamiento y, en su caso, al
representante del responsable o del encargado, que faciliten cualquier
información que requiera para el desempeño de sus funciones;
(?)
3. Cada autoridad de control dispondrá de todos los poderes de investigación
indicados a continuación:
a) ordenar al responsable y al encargado del tratamiento y, en su caso, al
representante del responsable o del encargado, que faciliten cualquier
información que requiera para el desempeño de sus funciones;
b) llevar a cabo investigaciones en forma de auditorías de protección de datos;
c) llevar a cabo una revisión de las certificaciones expedidas en virtud del
artículo 42, apartado 7;
d) notificar al responsable o al encargado del tratamiento las presuntas
infracciones del presente Reglamento;
e) obtener del responsable y del encargado del tratamiento el acceso a todos
los datos personales y a toda la información necesaria para el ejercicio de sus
funciones;
f) obtener el acceso a todos los locales del responsable y del encargado del
tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos,
de conformidad con el Derecho procesal de la Unión o de los Estados
miembros?.
VIII
1. De las evidencias de las que se dispone, se considera que el reclamado ha
vulnerado el artículo 58.1 del RGPD al obstaculizar al personal de la AEPD el acceso a
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/28
los datos personales, información, etc., al no contestar a los requerimientos efectuados
por los servicios de inspección en el desarrollo de la actividad de investigación.
Con la conducta del reclamado, la potestad de investigación que el artículo
58.1 del RGPD confiere a las autoridades de control, en este caso, la AEPD, se ha
visto obstaculizada.
Respecto a la conducta del reclamado negándose a proporcionar
reiteradamente acceso a la información requerida por el inspector actuante cabe
señalar que el artículo 53.1 de la LOPDGDD bajo el epígrafe ?Alcance de la actividad
de investigación? señala que:
?1. Quienes desarrollen la actividad de investigación podrán recabar las
informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones,
requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos en
el lugar en que se encuentren depositados o en donde se lleven a cabo los
tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y
requerir la ejecución de tratamientos y programas o procedimientos de gestión y
soporte del tratamiento sujetos a investigación.?
También en el artículo 27.2 del Real Decreto 389/2021, de 1 de junio, por el
que se aprueba el Estatuto de la Agencia Española de Protección de Datos se
desarrollan las funciones de la Subdirección General de Inspección de Datos, entre las
que se encuentra en su apartado ?b) El ejercicio de las potestades de investigación
definidas en el artículo 51 de la Ley Orgánica 3/2018, de 5 de diciembre.?
Por tanto, de los hechos considerados probados y relacionados en la presente
Resolución se estiman constitutivos de una infracción, imputable al reclamado, por
vulneración del artículo 58.1 del RGPD, tipificada en el artículo 83.5.e) del citado
Reglamento.
IX
La vulneración del artículo 58 del RGPD se encuentra tipificada en el artículo
83.5.e) del citado Reglamento, que considera como tal:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
(?)
e) el incumplimiento de una resolución o de una limitación temporal o definitiva
del tratamiento o la suspensión de los flujos de datos por parte de la autoridad
de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en
incumplimiento del artículo 58, apartado 1.
(?)?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/28
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica?.
Y en su artículo 72, a efectos de prescripción, califica de ?Infracciones
consideradas muy graves?:
?1. En función de lo que establece el artículo 83.5 del Reglamento (UE)
2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que
supongan una vulneración sustancial de los artículos mencionados en aquel y, en
particular, las siguientes:
(?)
ñ) No facilitar el acceso del personal de la autoridad de protección de datos
competente a los datos personales, información, locales, equipos y medios de
tratamiento que sean requeridos por la autoridad de protección de datos para
el ejercicio de sus poderes de investigación.
o) La resistencia u obstrucción del ejercicio de la función inspectora por la
autoridad de protección de datos competente.
(?)?
Por tanto, de conformidad con las evidencias puestas de manifiesto se estima
que el reclamado es responsable de la infracción del artículo 58 del RGPD.
X
A fin de establecer la multa administrativa que procede imponer han de
observarse las previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que
señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias
de cada caso individual, a título adicional o sustitutivo de las medidas contempladas
en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate
así como el número de interesados afectados y el nivel de los daños y
perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del
tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan
aplicado en virtud de los artículos 25 y 32;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/28
e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner
remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido
ordenadas previamente contra el responsable o el encargado de que se trate
en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción?.
En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su
artículo 76, ?Sanciones y medidas correctivas?, establece que:
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión
de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de
datos.
h) El sometimiento por parte del responsable o encargado, con carácter
voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos
supuestos en los que existan controversias entre aquellos y cualquier
interesado.?
- De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la
sanción de multa a imponer en el presente caso por la infracción del artículo 6.1 del
RGPD tipificada en el artículo 83.5.a) del RGPD de la que se responsabiliza al
reclamado, se estiman se estiman concurrentes los siguientes factores como
circunstancias agravantes:
La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate; los
hechos puestos de manifiesto afectan a un principio básico relativo al tratamiento de
los datos de carácter personal, como es el de legitimidad, que la norma sanciona con
la mayor gravedad. Los datos personales de la reclamante ha sido objeto de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/28
tratamiento por el reclamado, sin que se haya acreditado que mantenga algún tipo de
relación ni causa de legitimación alguna para ello (artículo 83.2. a) del RGPD).
La intencionalidad o negligencia en la infracción. Los hechos puestos de
manifiesto acreditan que el reclamado no obró con la diligencia a la que estaba
obligado, negándose a informar sobre los datos personales de la reclamante y a
colaborar con la actuación llevada a cabo por el Servicio de Inspección de la AEPD;
en escrito de 01/03/2022, reiterado el 01/04/2022 se le recordaba que el responsable
del tratamiento de los datos de carácter personal tenía la obligación de facilitar los
documentos, informaciones y cualquier otra colaboración que se precisase para
realizar la función de inspección y que el incumplimiento de esa obligación podría
comportar la comisión de la infracción tipificada en el artículo 72.1.ñ) de la LOPDGDD,
sancionada de acuerdo con el artículo 58.2 del RGPD (artículo 83.2. b) del RGPD).
La actividad de la entidad presuntamente infractora está vinculada con el
tratamiento de datos de carácter personal. Conectada también con el grado de
diligencia que el responsable del tratamiento está obligado a desplegar en el
cumplimiento de las obligaciones que le impone la normativa de protección de datos
puede citarse la SAN de 17/10/2007. Si bien fue dictada antes de la vigencia del
RGPD su pronunciamiento es perfectamente extrapolable al supuesto que analizamos.
La sentencia, después de aludir a que las entidades en las que el desarrollo de su
actividad conlleva un continuo tratamiento de datos de clientes y terceros han de
observar un adecuado nivel de diligencia, precisaba que ?(...). el Tribunal Supremo
viene entendiendo que existe imprudencia siempre que se desatiende un deber legal
de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en
la valoración del grado de diligencia ha de ponderarse especialmente la
profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado,
cuando la actividad de la recurrente es de constante y abundante manejo de datos de
carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las
prevenciones legales al respecto? (artículo 76.2.b) de la LOPDGDD en relación con el
artículo 83.2.k).
- De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la
sanción de multa a imponer en el presente caso por la infracción del artículo 58.1 del
RGPD tipificada en el artículo 83.5.e) del RGPD de la que se responsabiliza al
reclamado, se estiman se estiman concurrentes los siguientes factores como
circunstancias agravantes:
La intencionalidad o negligencia en la infracción. Los hechos puestos de
manifiesto acreditan que el reclamado no obró con la diligencia a la que estaba
obligado, negándose a informar sobre los datos personales de la reclamante y a
colaborar con la actuación llevada a cabo por el Servicio de Inspección de la AEPD;
en escrito de 01/03/2022, reiterado el 01/04/2022 se le recordaba que el responsable
del tratamiento de los datos de carácter personal tenía la obligación de facilitar los
documentos, informaciones y cualquier otra colaboración que se precisase para
realizar la función de inspección y que el incumplimiento de esa obligación podría
comportar la comisión de la infracción tipificada en el artículo 72.1.ñ) de la LOPDGDD,
sancionada de acuerdo con el artículo 58.2 del RGPD (artículo 83.2. b) del RGPD).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/28
La actividad de la entidad presuntamente infractora está vinculada con el
tratamiento de datos de carácter personal. En la actividad de la entidad reclamada es
imprescindible el tratamiento de datos de carácter personal de clientes y terceros por
lo que la transcendencia de la conducta objeto de la presente reclamación es
innegable (artículo 76.2.b) de la LOPDGDD en relación con el artículo 83.2.k).
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a QUALITY-PROVIDER S.A., con NIF A87407243,
- Por una infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5.a)
del RGPD, multa de 10.000 ? (diez mil euros).
- Por una infracción del artículo 58.1 del RGPD, tipificada en el artículo 83.5.e)
del RGPD, multa de 10.000 ? (diez mil euros).
SEGUNDO: NOTIFICAR la presente resolución a QUALITY-PROVIDER S.A.
TERCERO: ORDENAR a QUALITY-PROVIDER S.A., con NIF A87407243, que en
virtud del artículo 58.2.d) del RGPD, en el plazo de un mes a partir de la notificación de
la presente resolución, acredite haber procedido al cumplimiento y adopción de
medidas adecuadas evitando incidentes como los señalados al tratar datos de carácter
personal sin legitimación alguna de las contempladas en el artículo 6.1 del RGPD y
proporcione la información requerida por la AEPD en los requerimientos realizados en
fechas 01/03/2022 y 01/04/2022, que se detallan en la descripción de los hechos de
esta resolución, artículo 53.1 del RGPD.
CUARTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT:
CAIXESBBXXX), abierta a nombre de la Agencia Española de Protección de Datos en
la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su
recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se
encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el
pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si
se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del
pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/28
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la
presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art.
48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la
LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición
ante la Directora de la Agencia Española de Protección de Datos en el plazo de un
mes a contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la
LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa
si el interesado manifiesta su intención de interponer recurso contenciosoadministrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este
hecho mediante escrito dirigido a la Agencia Española de Protección de Datos,
presentándolo a través del Registro Electrónico de la Agencia
[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes
registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También
deberá trasladar a la Agencia la documentación que acredite la interposición efectiva
del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el
día siguiente a la notificación de la presente resolución, daría por finalizada la
suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es