Resolución de la Agencia Española de Protección de Datos PS-00036-2022 de 24 de mayo de 2022

Cuestión

1 / 14

Expediente Nº: EXP202103933

RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : Con fecha 31 de marzo de 2022 , la Directora de la Agencia...

Contestacion

1/14

? Expediente Nº: EXP202103933

RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: Con fecha 31 de marzo de 2022, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a ALQUILER SEGURO,

S.A.U. (en adelante, la parte reclamada), mediante el Acuerdo que se transcribe:

Expediente Nº: EXP202103933

ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR

De las actuaciones practicadas por la Agencia Española de Protección de Datos y en

base a los siguientes:

HECHOS

PRIMERO: D. A.A.A. (en adelante, la parte reclamante) con fecha 18 de agosto de

2021 interpuso reclamación ante la Agencia Española de Protección de Datos. La

reclamación se dirige contra ALQUILER SEGURO, S.A.U. con CIF A85252500 (en

adelante, la parte reclamada o Alquiler Seguro).

Los motivos en que basa la reclamación son los siguientes:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/14

?La empresa Alquiler Seguro SA ofertaba a través de InfoJobs un puesto para

abogado.

El reclamante se inscribió en dicha oferta.

La empresa, inmediatamente antes de llamarme, hizo previamente una consulta a

Asnef para conocer mi situación en dicho fichero (en el cual no figuraba y por eso a

continuación me llamaron).

Semanas más tarde, tras realizar algunas gestiones con Asnef, dicha entidad me

remite un histórico de consultas efectuadas en relación a mi persona, y en la que

aparece, para mi sorpresa, la consulta de Alquiler Seguro.

Considero que estamos ante un acceso al fichero para una finalidad distinta de la

prevista.

Alquiler Seguro ha consultado mis datos personales no para valorar la situación

patrimonial a raíz de una futura relación comercial, de crédito o de pago periódico o

aplazado (es la finalidad del tratamiento del fichero), sino que lo ha hecho, en el marco

de un proceso de selección de personal.

Además, Alquiler Seguro SA en ningún momento recabó mi consentimiento para

efectuar la consulta, ni se me informó tampoco de qué hicieron dicha consulta. Fue,

como se ha dicho, Asnef quién remitió un histórico de consultas.

En consecuencia, las entidades reclamadas, han incurrido en una infracción por

cuanto el tratamiento de los datos personales se ha efectuado para una finalidad

diferente de la prevista".

Y, entre otra, adjunta la siguiente documentación:

Inscripción en la oferta de Alquiler Seguro a través de Infojobs.

Histórico de consultas en el fichero Asnef, donde consta fecha 06/07/2021 19:51:39.2

Entidad: Alquiler Seguro, S.A. dirección: C/***DIRECCIÓN.1.

Llamada entrante de Alquiler Seguro 6 julio 19:52 ***TELÉFONO.1.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/14

que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las

acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de

protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de

1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas (en adelante, LPACAP), fue recogido en fecha 28 de octubre de 2021 como

consta en el acuse de recibo que obra en el expediente.

Con fecha 30 de noviembre de 2021 se recibe en esta Agencia escrito de respuesta

manifestando la parte reclamada que la reclamación se realiza sobre un candidato en

un proceso de selección de la mercantil y que ha sido descartado con posterioridad,

por lo que, finalizado el proceso de selección, sus datos personales fueron destruidos.

En consecuencia, la única información para revisar el procedimiento efectuado, así

como la posible brecha de seguridad consistente en un acceso no autorizado a los

datos del afectado, son los anexos aportados por el presunto afectado.

Añaden, que dentro de los procedimientos de selección se establecen consultas a

ficheros empresariales para puestos de gran responsabilidad o para cargos de

personas colegiadas, siendo este tratamiento lícito y habitual en el caso de

empresarios individuales y profesiones liberales, entre las que se encuentra la

abogacía.

Asimismo, exponen que esta situación ha sido ocasionada debido a un posible error

humano. El técnico de selección debió de confundirse de apartado desde la

plataforma Asnef, y en vez de introducir el DNI del candidato en "Asnef empresas", lo

introdujo en "Servicio Bureau Crédito".

Señalan que han adoptado medidas para evitar que se produzcan incidencias

similares.

Y, concluye que el reclamante no se ha puesto en contacto con la entidad, por lo que

no se ha comunicado de forma previa a la AEPD dicha circunstancia, ni se tuvo la

oportunidad de detectar el error previamente a la presente reclamación.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/14

TERCERO: Por otra parte, se solicitó información por esta Agencia a Asnef-Equifax,

Servicios de Información sobre Solvencia y Crédito el 28 de octubre de 2021.

Con fecha, 24 de noviembre de 2021 se recibe en esta Agencia escrito de respuesta

manifestando que más allá de las obligaciones establecidas en el contrato de

prestación del Servicio, Equifax no tiene medios ni tiene capacidad para conocer si

alguna Entidad está dando al fichero una finalidad distinta de la de Solvencia y bajo

qué base legitima lo haría. Por ello, Equifax no es ni puede considerarse responsable

del uso inadecuado de los datos que puedan llevar a cabo las Entidades Clientes, sino

que es responsabilidad de las Entidades hacer un uso correcto del fichero, y acceder

cumpliendo con los criterios establecidos en las normas de funcionamiento del mismo

y en la normativa de aplicación.

Asimismo, señalan que se han puesto en contacto con la entidad, con la finalidad de

advertirle del supuesto uso irregular que ha realizado del fichero, solicitando a la

misma la cesación de dicha actividad bajo riesgo de suspender anticipadamente el

contrato y recordarle los compromisos adquiridos en el momento de suscribir el

contrato de prestación de servicios.

Y, finalizan señalando que aunque el interesado no efectuó ninguna reclamación sobre

la atención del ejercicio de su derecho de acceso, sin embargo el mismo fue atendido

en tiempo y forma el 24 de noviembre de 2021, fecha en la que contestaron al

reclamante.

CUARTO: Con fecha 18 de noviembre de 2021, de conformidad con el artículo 65 de

la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del Reglamento (UE) 2016/679, del

Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/14

las personas físicas en lo que respecta al tratamiento de sus datos personales y a la

libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE

(Reglamento General de Protección de Datos, RGPD) reconoce a cada autoridad de

control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora

de la Agencia Española de Protección de Datos es competente para iniciar y resolver

este procedimiento.

El artículo 63.2 de la LOPDGDD dispone que ?Los procedimientos tramitados por la

Agencia Española de Protección de Datos se regirán por lo dispuesto en el

Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos.?

II

Se imputa a la parte reclamada la comisión de una infracción por vulneración del Artículo

6.1 del RGPD, por falta de legitimación en el tratamiento.

El artículo 6 del RGPD, bajo la rúbrica ?Licitud del tratamiento?, detalla en su apartado

1 los supuestos en los que el tratamiento de datos es considerado lícito:

?1. El tratamiento sólo será lícito si cumple al menos una de las siguientes

condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales

para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado

es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al

responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra

persona física;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/14

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés

público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos

por el responsable del tratamiento o por un tercero, siempre que sobre dichos

intereses no prevalezcan los intereses o los derechos y libertades fundamentales del

interesado que requieran la protección de datos personales, en particular cuando el

interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento

realizado por las autoridades públicas en el ejercicio de sus funciones.?

La infracción de la que se responsabiliza a la parte reclamada en el presente acuerdo

de inicio se encuentra tipificada en el artículo 83 del RGPD que, bajo la rúbrica

?Condiciones generales para la imposición de multas administrativas?, señala:

?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 20.000.000 Eur como máximo o, tratándose

de una empresa, de una cuantía equivalente al 4% como máximo del volumen de

negocio total anual global del ejercicio financiero anterior, optándose por la de mayor

cuantía:

a) Los principios básicos para el tratamiento, incluidas las condiciones para el

consentimiento a tenor de los artículos 5,6,7 y 9.?

La LOPDGDD, a efectos de la prescripción de la infracción, califica en su artículo 72.1.

de infracción muy grave, siendo en este caso el plazo de prescripción de tres años, ?b)

El tratamiento de datos personales sin que concurra alguna de las condiciones de

licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE)2016/679.?

III

La documentación obrante en el expediente ofrece indicios evidentes de que la parte

reclamada vulneró el artículo 6 del RGPD, puesto que no consta base legitimadora

para el tratamiento de los datos personales de la parte reclamante, dado que el

responsable del tratamiento señala en su contestación a esta Agencia de fecha 30 de

noviembre de 2021 ?que dentro de los procedimientos de selección se establecen

consultas a ficheros empresariales para puestos de gran responsabilidad o para

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/14

cargos de personas colegiadas, siendo este tratamiento lícito y habitual en el caso de

empresarios individuales y profesiones liberales, entre las que se encuentra la

abogacía. Añade que se ha producido un error humano al consultar el fichero Asnef,

apartado Servicio Bureau de Crédito, en lugar del fichero "Asnef empresas".

Hay que tener en cuenta, que la parte reclamada en los procesos de selección de

candidatos consulta el fichero Asnef empresas, siendo que el artículo 20 (sistemas de

información crediticia) de la LOPDGDD, establecen criterios de prevalencia del interés

legítimo en el tratamiento de los datos de las personas físicas en los sistemas de

información crediticia, sean profesionales liberales, empresarios individuales o no. De

aquí que en este caso concreto no podría ser el interés legítimo, porque no se

cumplen los criterios del art. 20 de la LOPDGDD, el responsable no indica cuál es su

interés legítimo ni aporta una ponderación que permita acreditar la prevalencia del

interés legítimo y tampoco se facilita información al reclamante sobre la posibilidad de

consulta, por lo que dentro de sus expectativas razonables no se encuentra la de que

consulten sus datos.

El Artículo 20 de la LOPDGDD, ?Sistemas de información crediticia?, dispone en su

apartado 1 e):

?1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales

relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por

sistemas comunes de información crediticia cuando se cumplan los siguientes

requisitos:

e) Que los datos referidos a un deudor determinado solamente puedan ser

consultados cuando quien consulte el sistema mantuviese una relación contractual

con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera

solicitado la celebración de un contrato que suponga financiación, pago aplazado o

facturación periódica, como sucede, entre otros supuestos, en los previstos en la

legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.

Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento

de los datos impugnando su exactitud conforme a lo previsto en el artículo 18.1.a) del

Reglamento (UE) 2016/679, el sistema informará a quienes pudieran consultarlo con

arreglo al párrafo anterior acerca de la mera existencia de dicha circunstancia, sin

facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en

tanto se resuelve sobre la solicitud del afectado?.

En definitiva, hay que señalar que el respeto al principio de licitud de los datos exige

que conste acreditado que el titular de los datos consintió en el tratamiento de los

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/14

datos de carácter personal o concurra cualquier otra causa legitimadora del art. 6

RGPD y desplegar una razonable diligencia imprescindible para acreditar ese extremo.

De no actuar así el resultado sería vaciar de contenido el principio de licitud.

IV

A fin de establecer la multa administrativa que procede imponer han de observarse las

previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que señalan:

?1. Cada autoridad de control garantizará que la imposición de las multas

administrativas con arreglo al presente artículo por las infracciones del presente

Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual

efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias

de cada caso individual, a título adicional o sustitutivo de las medidas contempladas

en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate así

como el número de interesados afectados y el nivel de los daños y perjuicios que

hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento

para paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del

tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan

aplicado en virtud de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del

tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner

remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/14

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en

particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué

medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido

ordenadas previamente contra el responsable o el encargado de que se trate en

relación con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos

de certificación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del

caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o

indirectamente, a través de la infracción.

En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su artículo 76,

?Sanciones y medidas correctivas?, establece que:

?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)

2016/679 también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos

de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la

comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión

de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de

datos.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/14

h) El sometimiento por parte del responsable o encargado, con carácter

voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos

supuestos en los que existan controversias entre aquellos y cualquier interesado.?

De acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de la

instrucción del procedimiento, a efectos de fijar el importe de la sanción de multa a

imponer en el presente caso por la infracción tipificada en el artículo 83.5.a) del RGPD

de la que se responsabiliza al reclamado, en una valoración inicial, se estiman

concurrentes los siguientes factores agravantes:

La evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento

de datos personales de candidatos en los procesos de selección, clientes y terceros

(artículo 83.2 K, del RGPD en relación con el artículo 76.2 b, de la LOPDGDD).

El balance de las circunstancias contempladas en el artículo 83.2 del RGPD, con

respecto a la infracción cometida al vulnerar lo establecido en su artículo 6.1 del

RGPD permite fijar una sanción de 70.000 euros (setenta mil euros).

Por lo tanto, a tenor de lo anteriormente expuesto, por la Directora de la Agencia

Española de Protección de Datos,

SE ACUERDA:

1. INICIAR PROCEDIMIENTO SANCIONADOR a ALQUILER SEGURO, S.A.U.

con CIF A85252500, por la presunta infracción del artículo 6.1. del RGPD

tipificada en el artículo 83.5.a) del citado RGPD.

2. NOMBRAR como instructor a D. B.B.B. y como secretaria a Dña. C.C.C.,

indicando que cualquiera de ellos podrá ser recusado, en su caso, conforme a

lo establecido en los artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de

Régimen Jurídico del Sector Público (LRJSP).

3. INCORPORAR al expediente sancionador, a efectos probatorios, la

reclamación interpuesta por el reclamante y su documentación anexa, los

requerimientos informativos que la Subdirección General de Inspección de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/14

Datos remitió a la entidad reclamada en la fase de investigación previa, sus

respectivos acuses de recibo y su contestación.

4. QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de

octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas, la sanción que pudiera corresponder sería de 70.000 euros (setenta

mil euros), sin perjuicio de lo que resulte de la instrucción.

5. NOTIFICAR el presente acuerdo a ALQUILER SEGURO, S.A.U. con CIF

A85252500, otorgándole un plazo de audiencia de diez días hábiles para

que formule las alegaciones y presente las pruebas que considere

convenientes. En su escrito de alegaciones deberá facilitar su NIF y el número

de procedimiento que figura en el encabezamiento de este documento.

Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo

podrá ser considerado propuesta de resolución, según lo establecido en el artículo

64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de

las Administraciones Públicas (en lo sucesivo, LPACAP).

De conformidad con lo dispuesto en el artículo 85 de la LPACAP, en caso de que la

sanción a imponer fuese de multa, podrá reconocer su responsabilidad dentro del

plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio; lo

que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en

el presente procedimiento. Con la aplicación de esta reducción, la sanción quedaría

establecida en 56.000 euros, resolviéndose el procedimiento con la imposición de esta

sanción.

Del mismo modo podrá, en cualquier momento anterior a la resolución del presente

procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que

supondrá la reducción de un 20% de su importe. Con la aplicación de esta reducción,

la sanción quedaría establecida en 56.000 euros y su pago implicará la terminación del

procedimiento.

La reducción por el pago voluntario de la sanción es acumulable a la que corresponde

aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento

de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/14

alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida

en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En

este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría

establecido en 42.000 euros.

En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará

condicionada al desistimiento o renuncia de cualquier acción o recurso en vía

administrativa contra la sanción.

En caso de que optara por proceder al pago voluntario de cualquiera de las cantidades

señaladas anteriormente, 56.000 euros o 42.000 euros, deberá hacerlo efectivo

mediante su ingreso en la cuenta nº ES00 0000 0000 0000 0000 0000 abierta a

nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK,

S.A., indicando en el concepto el número de referencia del procedimiento que figura en

el encabezamiento de este documento y la causa de reducción del importe a la que se

acoge.

Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de

Inspección para continuar con el procedimiento en concordancia con la cantidad

ingresada.

El procedimiento tendrá una duración máxima de nueve meses a contar desde la

fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.

Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de

actuaciones; de conformidad con lo establecido en el artículo 64 de la LOPDGDD.

Por último, se señala que conforme a lo establecido en el artículo 112.1 de la

LPACAP, contra el presente acto no cabe recurso administrativo alguno.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/14

>>

SEGUNDO: En fecha 5 de abril de 2022, la parte reclamada ha procedido al pago de

la sanción en la cuantía de 42000 euros haciendo uso de las dos reducciones

previstas en el Acuerdo de inicio transcrito anteriormente, lo que implica el

reconocimiento de la responsabilidad.

TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a

la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía

administrativa contra la sanción y el reconocimiento de responsabilidad en relación con

los hechos a los que se refiere el Acuerdo de Inicio.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley

Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver

este procedimiento la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos.?

II

El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica

?Terminación en los procedimientos sancionadores? dispone lo siguiente:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/14

?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,

se podrá resolver el procedimiento con la imposición de la sanción que proceda.

2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una

sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la

improcedencia de la segunda, el pago voluntario por el presunto responsable, en

cualquier momento anterior a la resolución, implicará la terminación del procedimiento,

salvo en lo relativo a la reposición de la situación alterada o a la determinación de la

indemnización por los daños y perjuicios causados por la comisión de la infracción.

3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el

órgano competente para resolver el procedimiento aplicará reducciones de, al menos,

el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.

Las citadas reducciones, deberán estar determinadas en la notificación de iniciación

del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de

cualquier acción o recurso en vía administrativa contra la sanción.

El porcentaje de reducción previsto en este apartado podrá ser incrementado

reglamentariamente.?

De acuerdo con lo señalado,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DECLARAR la terminación del procedimiento EXP202103933, de

conformidad con lo establecido en el artículo 85 de la LPACAP.

SEGUNDO: NOTIFICAR la presente resolución a ALQUILER SEGURO, S.A.U..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por

el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, los interesados podrán interponer recurso

contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

936-240122

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es