Última revisión
Resolución de la Agencia Española de Protección de Datos PS-00036-2022 de 24 de mayo de 2022
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 24/05/2022
Num. Resolución: PS-00036-2022
Cuestión
Sector:1 / 14
Expediente Nº: EXP202103933
RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : Con fecha 31 de marzo de 2022 , la Directora de la Agencia...
Contestacion
1/14
? Expediente Nº: EXP202103933
RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Con fecha 31 de marzo de 2022, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a ALQUILER SEGURO,
S.A.U. (en adelante, la parte reclamada), mediante el Acuerdo que se transcribe:
Expediente Nº: EXP202103933
ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas por la Agencia Española de Protección de Datos y en
base a los siguientes:
HECHOS
PRIMERO: D. A.A.A. (en adelante, la parte reclamante) con fecha 18 de agosto de
2021 interpuso reclamación ante la Agencia Española de Protección de Datos. La
reclamación se dirige contra ALQUILER SEGURO, S.A.U. con CIF A85252500 (en
adelante, la parte reclamada o Alquiler Seguro).
Los motivos en que basa la reclamación son los siguientes:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/14
?La empresa Alquiler Seguro SA ofertaba a través de InfoJobs un puesto para
abogado.
El reclamante se inscribió en dicha oferta.
La empresa, inmediatamente antes de llamarme, hizo previamente una consulta a
Asnef para conocer mi situación en dicho fichero (en el cual no figuraba y por eso a
continuación me llamaron).
Semanas más tarde, tras realizar algunas gestiones con Asnef, dicha entidad me
remite un histórico de consultas efectuadas en relación a mi persona, y en la que
aparece, para mi sorpresa, la consulta de Alquiler Seguro.
Considero que estamos ante un acceso al fichero para una finalidad distinta de la
prevista.
Alquiler Seguro ha consultado mis datos personales no para valorar la situación
patrimonial a raíz de una futura relación comercial, de crédito o de pago periódico o
aplazado (es la finalidad del tratamiento del fichero), sino que lo ha hecho, en el marco
de un proceso de selección de personal.
Además, Alquiler Seguro SA en ningún momento recabó mi consentimiento para
efectuar la consulta, ni se me informó tampoco de qué hicieron dicha consulta. Fue,
como se ha dicho, Asnef quién remitió un histórico de consultas.
En consecuencia, las entidades reclamadas, han incurrido en una infracción por
cuanto el tratamiento de los datos personales se ha efectuado para una finalidad
diferente de la prevista".
Y, entre otra, adjunta la siguiente documentación:
Inscripción en la oferta de Alquiler Seguro a través de Infojobs.
Histórico de consultas en el fichero Asnef, donde consta fecha 06/07/2021 19:51:39.2
Entidad: Alquiler Seguro, S.A. dirección: C/***DIRECCIÓN.1.
Llamada entrante de Alquiler Seguro 6 julio 19:52 ***TELÉFONO.1.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/14
que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las
acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de
protección de datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante, LPACAP), fue recogido en fecha 28 de octubre de 2021 como
consta en el acuse de recibo que obra en el expediente.
Con fecha 30 de noviembre de 2021 se recibe en esta Agencia escrito de respuesta
manifestando la parte reclamada que la reclamación se realiza sobre un candidato en
un proceso de selección de la mercantil y que ha sido descartado con posterioridad,
por lo que, finalizado el proceso de selección, sus datos personales fueron destruidos.
En consecuencia, la única información para revisar el procedimiento efectuado, así
como la posible brecha de seguridad consistente en un acceso no autorizado a los
datos del afectado, son los anexos aportados por el presunto afectado.
Añaden, que dentro de los procedimientos de selección se establecen consultas a
ficheros empresariales para puestos de gran responsabilidad o para cargos de
personas colegiadas, siendo este tratamiento lícito y habitual en el caso de
empresarios individuales y profesiones liberales, entre las que se encuentra la
abogacía.
Asimismo, exponen que esta situación ha sido ocasionada debido a un posible error
humano. El técnico de selección debió de confundirse de apartado desde la
plataforma Asnef, y en vez de introducir el DNI del candidato en "Asnef empresas", lo
introdujo en "Servicio Bureau Crédito".
Señalan que han adoptado medidas para evitar que se produzcan incidencias
similares.
Y, concluye que el reclamante no se ha puesto en contacto con la entidad, por lo que
no se ha comunicado de forma previa a la AEPD dicha circunstancia, ni se tuvo la
oportunidad de detectar el error previamente a la presente reclamación.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/14
TERCERO: Por otra parte, se solicitó información por esta Agencia a Asnef-Equifax,
Servicios de Información sobre Solvencia y Crédito el 28 de octubre de 2021.
Con fecha, 24 de noviembre de 2021 se recibe en esta Agencia escrito de respuesta
manifestando que más allá de las obligaciones establecidas en el contrato de
prestación del Servicio, Equifax no tiene medios ni tiene capacidad para conocer si
alguna Entidad está dando al fichero una finalidad distinta de la de Solvencia y bajo
qué base legitima lo haría. Por ello, Equifax no es ni puede considerarse responsable
del uso inadecuado de los datos que puedan llevar a cabo las Entidades Clientes, sino
que es responsabilidad de las Entidades hacer un uso correcto del fichero, y acceder
cumpliendo con los criterios establecidos en las normas de funcionamiento del mismo
y en la normativa de aplicación.
Asimismo, señalan que se han puesto en contacto con la entidad, con la finalidad de
advertirle del supuesto uso irregular que ha realizado del fichero, solicitando a la
misma la cesación de dicha actividad bajo riesgo de suspender anticipadamente el
contrato y recordarle los compromisos adquiridos en el momento de suscribir el
contrato de prestación de servicios.
Y, finalizan señalando que aunque el interesado no efectuó ninguna reclamación sobre
la atención del ejercicio de su derecho de acceso, sin embargo el mismo fue atendido
en tiempo y forma el 24 de noviembre de 2021, fecha en la que contestaron al
reclamante.
CUARTO: Con fecha 18 de noviembre de 2021, de conformidad con el artículo 65 de
la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del Reglamento (UE) 2016/679, del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/14
las personas físicas en lo que respecta al tratamiento de sus datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento General de Protección de Datos, RGPD) reconoce a cada autoridad de
control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora
de la Agencia Española de Protección de Datos es competente para iniciar y resolver
este procedimiento.
El artículo 63.2 de la LOPDGDD dispone que ?Los procedimientos tramitados por la
Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
II
Se imputa a la parte reclamada la comisión de una infracción por vulneración del Artículo
6.1 del RGPD, por falta de legitimación en el tratamiento.
El artículo 6 del RGPD, bajo la rúbrica ?Licitud del tratamiento?, detalla en su apartado
1 los supuestos en los que el tratamiento de datos es considerado lícito:
?1. El tratamiento sólo será lícito si cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado
es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/14
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.?
La infracción de la que se responsabiliza a la parte reclamada en el presente acuerdo
de inicio se encuentra tipificada en el artículo 83 del RGPD que, bajo la rúbrica
?Condiciones generales para la imposición de multas administrativas?, señala:
?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20.000.000 Eur como máximo o, tratándose
de una empresa, de una cuantía equivalente al 4% como máximo del volumen de
negocio total anual global del ejercicio financiero anterior, optándose por la de mayor
cuantía:
a) Los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5,6,7 y 9.?
La LOPDGDD, a efectos de la prescripción de la infracción, califica en su artículo 72.1.
de infracción muy grave, siendo en este caso el plazo de prescripción de tres años, ?b)
El tratamiento de datos personales sin que concurra alguna de las condiciones de
licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE)2016/679.?
III
La documentación obrante en el expediente ofrece indicios evidentes de que la parte
reclamada vulneró el artículo 6 del RGPD, puesto que no consta base legitimadora
para el tratamiento de los datos personales de la parte reclamante, dado que el
responsable del tratamiento señala en su contestación a esta Agencia de fecha 30 de
noviembre de 2021 ?que dentro de los procedimientos de selección se establecen
consultas a ficheros empresariales para puestos de gran responsabilidad o para
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/14
cargos de personas colegiadas, siendo este tratamiento lícito y habitual en el caso de
empresarios individuales y profesiones liberales, entre las que se encuentra la
abogacía. Añade que se ha producido un error humano al consultar el fichero Asnef,
apartado Servicio Bureau de Crédito, en lugar del fichero "Asnef empresas".
Hay que tener en cuenta, que la parte reclamada en los procesos de selección de
candidatos consulta el fichero Asnef empresas, siendo que el artículo 20 (sistemas de
información crediticia) de la LOPDGDD, establecen criterios de prevalencia del interés
legítimo en el tratamiento de los datos de las personas físicas en los sistemas de
información crediticia, sean profesionales liberales, empresarios individuales o no. De
aquí que en este caso concreto no podría ser el interés legítimo, porque no se
cumplen los criterios del art. 20 de la LOPDGDD, el responsable no indica cuál es su
interés legítimo ni aporta una ponderación que permita acreditar la prevalencia del
interés legítimo y tampoco se facilita información al reclamante sobre la posibilidad de
consulta, por lo que dentro de sus expectativas razonables no se encuentra la de que
consulten sus datos.
El Artículo 20 de la LOPDGDD, ?Sistemas de información crediticia?, dispone en su
apartado 1 e):
?1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales
relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por
sistemas comunes de información crediticia cuando se cumplan los siguientes
requisitos:
e) Que los datos referidos a un deudor determinado solamente puedan ser
consultados cuando quien consulte el sistema mantuviese una relación contractual
con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera
solicitado la celebración de un contrato que suponga financiación, pago aplazado o
facturación periódica, como sucede, entre otros supuestos, en los previstos en la
legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.
Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento
de los datos impugnando su exactitud conforme a lo previsto en el artículo 18.1.a) del
Reglamento (UE) 2016/679, el sistema informará a quienes pudieran consultarlo con
arreglo al párrafo anterior acerca de la mera existencia de dicha circunstancia, sin
facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en
tanto se resuelve sobre la solicitud del afectado?.
En definitiva, hay que señalar que el respeto al principio de licitud de los datos exige
que conste acreditado que el titular de los datos consintió en el tratamiento de los
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/14
datos de carácter personal o concurra cualquier otra causa legitimadora del art. 6
RGPD y desplegar una razonable diligencia imprescindible para acreditar ese extremo.
De no actuar así el resultado sería vaciar de contenido el principio de licitud.
IV
A fin de establecer la multa administrativa que procede imponer han de observarse las
previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias
de cada caso individual, a título adicional o sustitutivo de las medidas contempladas
en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del
tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan
aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner
remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/14
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido
ordenadas previamente contra el responsable o el encargado de que se trate en
relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.
En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su artículo 76,
?Sanciones y medidas correctivas?, establece que:
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión
de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de
datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/14
h) El sometimiento por parte del responsable o encargado, con carácter
voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos
supuestos en los que existan controversias entre aquellos y cualquier interesado.?
De acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de la
instrucción del procedimiento, a efectos de fijar el importe de la sanción de multa a
imponer en el presente caso por la infracción tipificada en el artículo 83.5.a) del RGPD
de la que se responsabiliza al reclamado, en una valoración inicial, se estiman
concurrentes los siguientes factores agravantes:
La evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento
de datos personales de candidatos en los procesos de selección, clientes y terceros
(artículo 83.2 K, del RGPD en relación con el artículo 76.2 b, de la LOPDGDD).
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD, con
respecto a la infracción cometida al vulnerar lo establecido en su artículo 6.1 del
RGPD permite fijar una sanción de 70.000 euros (setenta mil euros).
Por lo tanto, a tenor de lo anteriormente expuesto, por la Directora de la Agencia
Española de Protección de Datos,
SE ACUERDA:
1. INICIAR PROCEDIMIENTO SANCIONADOR a ALQUILER SEGURO, S.A.U.
con CIF A85252500, por la presunta infracción del artículo 6.1. del RGPD
tipificada en el artículo 83.5.a) del citado RGPD.
2. NOMBRAR como instructor a D. B.B.B. y como secretaria a Dña. C.C.C.,
indicando que cualquiera de ellos podrá ser recusado, en su caso, conforme a
lo establecido en los artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de
Régimen Jurídico del Sector Público (LRJSP).
3. INCORPORAR al expediente sancionador, a efectos probatorios, la
reclamación interpuesta por el reclamante y su documentación anexa, los
requerimientos informativos que la Subdirección General de Inspección de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/14
Datos remitió a la entidad reclamada en la fase de investigación previa, sus
respectivos acuses de recibo y su contestación.
4. QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas, la sanción que pudiera corresponder sería de 70.000 euros (setenta
mil euros), sin perjuicio de lo que resulte de la instrucción.
5. NOTIFICAR el presente acuerdo a ALQUILER SEGURO, S.A.U. con CIF
A85252500, otorgándole un plazo de audiencia de diez días hábiles para
que formule las alegaciones y presente las pruebas que considere
convenientes. En su escrito de alegaciones deberá facilitar su NIF y el número
de procedimiento que figura en el encabezamiento de este documento.
Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo
podrá ser considerado propuesta de resolución, según lo establecido en el artículo
64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas (en lo sucesivo, LPACAP).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP, en caso de que la
sanción a imponer fuese de multa, podrá reconocer su responsabilidad dentro del
plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio; lo
que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en
el presente procedimiento. Con la aplicación de esta reducción, la sanción quedaría
establecida en 56.000 euros, resolviéndose el procedimiento con la imposición de esta
sanción.
Del mismo modo podrá, en cualquier momento anterior a la resolución del presente
procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que
supondrá la reducción de un 20% de su importe. Con la aplicación de esta reducción,
la sanción quedaría establecida en 56.000 euros y su pago implicará la terminación del
procedimiento.
La reducción por el pago voluntario de la sanción es acumulable a la que corresponde
aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento
de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/14
alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida
en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En
este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría
establecido en 42.000 euros.
En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará
condicionada al desistimiento o renuncia de cualquier acción o recurso en vía
administrativa contra la sanción.
En caso de que optara por proceder al pago voluntario de cualquiera de las cantidades
señaladas anteriormente, 56.000 euros o 42.000 euros, deberá hacerlo efectivo
mediante su ingreso en la cuenta nº ES00 0000 0000 0000 0000 0000 abierta a
nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK,
S.A., indicando en el concepto el número de referencia del procedimiento que figura en
el encabezamiento de este documento y la causa de reducción del importe a la que se
acoge.
Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de
Inspección para continuar con el procedimiento en concordancia con la cantidad
ingresada.
El procedimiento tendrá una duración máxima de nueve meses a contar desde la
fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.
Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de
actuaciones; de conformidad con lo establecido en el artículo 64 de la LOPDGDD.
Por último, se señala que conforme a lo establecido en el artículo 112.1 de la
LPACAP, contra el presente acto no cabe recurso administrativo alguno.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/14
>>
SEGUNDO: En fecha 5 de abril de 2022, la parte reclamada ha procedido al pago de
la sanción en la cuantía de 42000 euros haciendo uso de las dos reducciones
previstas en el Acuerdo de inicio transcrito anteriormente, lo que implica el
reconocimiento de la responsabilidad.
TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a
la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía
administrativa contra la sanción y el reconocimiento de responsabilidad en relación con
los hechos a los que se refiere el Acuerdo de Inicio.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver
este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
II
El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica
?Terminación en los procedimientos sancionadores? dispone lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/14
?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,
se podrá resolver el procedimiento con la imposición de la sanción que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una
sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la
improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el
órgano competente para resolver el procedimiento aplicará reducciones de, al menos,
el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.
Las citadas reducciones, deberán estar determinadas en la notificación de iniciación
del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de
cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente.?
De acuerdo con lo señalado,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR la terminación del procedimiento EXP202103933, de
conformidad con lo establecido en el artículo 85 de la LPACAP.
SEGUNDO: NOTIFICAR la presente resolución a ALQUILER SEGURO, S.A.U..
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, los interesados podrán interponer recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
936-240122
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
LIBROS Y CURSOS RELACIONADOS
Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)
12.75€
6.38€