Resolución de la Agencia Española de Protección de Datos PS-00044-2021 de 02 de agosto de 2021

Cuestión

1 / 9

Procedimiento N.º: PS/00044/2021

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : En fecha 6 de octubre de 2020, D. A.A.A. (en adelante, el...

Contestacion

1/9

? Procedimiento N.º: PS/00044/2021

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: En fecha 6 de octubre de 2020, D. A.A.A. (en adelante, el reclamante)

interpuso reclamación ante la Agencia Española de Protección de Datos. La

reclamación se dirige contra el CLUB NÁUTICO EL ESTACIO, con CIF G73044893 (en

adelante, el reclamado). Los motivos en que basa la reclamación son: que esta

entidad ha publicado en su web, la convocatoria y el Acta de la Junta Ordinaria del

Club, de fecha ***FECHA.1, exponiendo sus datos personales, sin restricciones de

acceso.

Se ha comprobado que ambos documentos se encuentran accesibles en la web de la

entidad denunciada.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales

(en adelante LOPDGDD), se dio traslado de dicha reclamación al reclamado, para que

procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las

acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de

protección de datos.

En fecha 17 de diciembre de 2020, se recibe respuesta del reclamado en la que, en

síntesis, pone de manifiesto que se colocó en el tablón de anuncios y en la página web

como siempre se ha realizado, que a la Asamblea solo se presentaron los integrantes

de la Junta Directiva y ningún socio de los existentes, que el Club Náutico de " El

Estacio" se encuentra situado en ***DIRECCIÓN.1, contando sólo con un local de

reuniones y que carece apenas de funciones y actividades deportivas.

TERCERO: En fecha 1 de febrero de 2021, de conformidad con el artículo 65 de la

LOPDGDD, la Directora de la Agencia Española de Protección de Datos acordó admitir

a trámite la reclamación presentada por el reclamante contra el reclamado.

CUARTO: A la vista de los hechos denunciados, de conformidad con las evidencias de

que se dispone, la Inspección de Datos de esta Agencia Española de Protección de

Datos, considera que el tratamiento de los datos personales que se realiza por la

entidad reclamada no cumple las condiciones que impone la normativa sobre

protección de datos, por lo que procede la apertura del presente procedimiento

sancionador.

QUINTO: Con fecha 7 de junio de 2021, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la

presunta infracción del artículo 32 del RGPD y 5.1.f) del RGPD.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/9

SEXTO: Notificado el citado acuerdo de inicio y no habiendo presentado alegaciones,

a tenor de lo dispuesto en el artículo 64.2.f) de la Ley 39/2015, de 1 de octubre, del

Procedimiento Administrativo Común de las Administraciones Públicas, el acuerdo de

inicio puede ser considerado propuesta de resolución. En consecuencia, esta Agencia

procede a dictar Resolución.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de

Datos, en el presente procedimiento, se consideran hechos probados los siguientes,

HECHOS

PRIMERO: En fecha 6 de octubre de 2020, el reclamante interpone reclamación ante

la Agencia Española de Protección de Datos, contra el CLUB NÁUTICO EL ESTACIO,

toda vez que dicha entidad ha publicado en su web, la convocatoria y el Acta de la

Junta Ordinaria del Club, exponiendo sus datos personales, sin restricciones de

acceso.

SEGUNDO: Comprobado que ambos documentos se encuentran accesibles en la web

de la entidad, se recibe respuesta del reclamado en la que, en síntesis, pone de

manifiesto que se colocó en el tablón de anuncios y en la página web como siempre se

ha realizado.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de

control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD, la Directora

de la Agencia Española de Protección de Datos es competente para iniciar y para

resolver este procedimiento.

II

El artículo 5.1.f) del RGPD, Principios relativos al tratamiento, señala lo siguiente:

?1. Los datos personales serán:

(?)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos

personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra

su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas

u organizativas apropiadas («integridad y confidencialidad»)?.

El artículo 5 de la LOPDGDD, Deber de confidencialidad, señala lo siguiente:

?1. Los responsables y encargados del tratamiento de datos, así como todas las

personas que intervengan en cualquier fase de este estarán sujetas al deber de

confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.

2. La obligación general señalada en el apartado anterior será complementaria de los

deberes de secreto profesional de conformidad con su normativa aplicable.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/9

3.Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando

hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento?.

La documentación obrante en el expediente ofrece indicios evidentes de que el

reclamado, vulneró el artículo 5 del RGPD, principios relativos al tratamiento, en

relación con el artículo 5 de la LOPGDD, deber de confidencialidad, al publicar en su

web, la convocatoria y el acta de la Junta ordinaria del Club, revelando información y

datos de carácter personal a terceros.

Este deber de confidencialidad, debe entenderse que tiene como finalidad evitar que

se realicen filtraciones de los datos, no consentidas por los titulares de estos.

Por tanto, ese deber de confidencialidad es una obligación que incumbe no sólo al

responsable y encargado del tratamiento, sino a todo aquel que intervenga en

cualquier fase del tratamiento y complementaria del deber de secreto profesional.

III

En cuanto a la seguridad de los datos personales, el artículo 32 del RGPD ?Seguridad

del tratamiento?, establece que:

?1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la

naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de

probabilidad y gravedad variables para los derechos y libertades de las personas

físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y

organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo,

que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y

resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos

personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia

de las medidas técnicas y organizativas para garantizar la seguridad del

tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en

cuenta los riesgos que presente el tratamiento de datos, en particular como

consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos

personales transmitidos, conservados o tratados de otra forma, o la comunicación o

acceso no autorizados a dichos datos.

3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un

mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento

para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del

presente artículo.

4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que

cualquier persona que actúe bajo la autoridad del responsable o del encargado y

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/9

tenga acceso a datos personales solo pueda tratar dichos datos siguiendo

instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de

la Unión o de los Estados miembros?.

Los hechos puestos de manifiesto suponen el quebrantamiento de las medidas

técnicas y organizativas al posibilitar la exhibición de documentación del reclamante

donde constan sus datos de carácter personal con la consiguiente falta de diligencia

por el responsable.

IV

El RGPD define las violaciones de seguridad de los datos personales como ?todas

aquellas violaciones de la seguridad que ocasionen la destrucción, perdida o

alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados

de otra forma, o la comunicación o acceso no autorizados a dichos datos?.

De la documentación obrante en el expediente se ofrecen indicios evidentes de que el

reclamado ha vulnerado el artículo 32 del RGPD, al producirse un incidente de

seguridad debido a la publicación en su página web de datos personales del

reclamante, permitiendo el acceso no autorizado a estos por terceros ajenos.

Hay que señalar que el RGPD en el citado precepto no establece un listado de las

medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto

de tratamiento, sino que establece que el responsable y el encargado del tratamiento

aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve

el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la

naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad

y gravedad para los derechos y libertades de las personas interesadas.

Asimismo, las medidas de seguridad deben resultar adecuadas y proporcionadas al

riesgo detectado, señalando que la determinación de las medidas técnicas y

organizativas deberá realizarse teniendo en cuenta: la seudonimización y el cifrado, la

capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la

capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso

de verificación (que no auditoría), evaluación y valoración de la eficacia de las

medidas.

En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán

particularmente en cuenta los riesgos que presente el tratamiento de datos, como

consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos

personales transmitidos, conservados o tratados de otra forma, o la comunicación o

acceso no autorizados a dichos datos y que pudieran ocasionar daños y perjuicios

físicos, materiales o inmateriales.

En este mismo sentido el considerando 83 del RGPD señala que:

?(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo

dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar

los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el

cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la

confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/9

con respecto a los riesgos y la naturaleza de los datos personales que deban

protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben

tener en cuenta los riesgos que se derivan del tratamiento de los datos personales,

como la destrucción, pérdida o alteración accidental o ilícita de datos personales

transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no

autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios

físicos, materiales o inmateriales?.

En el presente caso, tal y como consta en los hechos y en el marco del expediente

E/08576/2020, la AEPD trasladó al reclamado, la reclamación presentada para su

análisis, solicitando la aportación de información relacionada con la incidencia. De la

documentación aportada, el reclamado manifiesta que se colocó en el tablón de

anuncios y en la página web como siempre se ha realizado.

La responsabilidad del reclamado viene determinada por la quiebra de seguridad

puesta de manifiesto por el reclamante, ya que es responsable de tomar decisiones

destinadas a implementar de manera efectiva las medidas técnicas y organizativas

apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la

confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los

mismos en caso de incidente físico o técnico.

De conformidad con lo que antecede, se estima que el reclamado es responsable de la

infracción del artículo 32 del RGPD, infracción tipificada en el artículo 83.4.a) del

RGPD.

V

El artículo 83.5 del RGPD dispone lo siguiente:

?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento

a tenor de los artículos 5, 6, 7 y 9;?

Por su parte, el artículo 71 de la LOPDGDD, bajo la rúbrica ?Infracciones? determina lo

siguiente: Constituyen infracciones los actos y conductas a las que se refieren los

apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que

resulten contrarias a la presente ley orgánica.

Establece el artículo 72 de la LOPDGDD, bajo la rúbrica de infracciones consideradas

muy graves, lo siguiente: ?1. En función de lo que establece el artículo 83.5 del

Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años

las infracciones que supongan una vulneración sustancial de los artículos

mencionados en aquel y, en particular, las siguientes:

(?)

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/9

i) La vulneración del deber de confidencialidad establecido en el artículo 5 de

esta ley orgánica.?

La vulneración del artículo 32 RGPD se encuentra tipificada en el artículo 83.4.a) del

citado RGPD en los siguientes términos:

?4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11,

25 a 39, 42 y 43.?

(?)

Establece el artículo 73 de la LOPDGDD, bajo la rúbrica ?Infracciones consideradas

graves?, lo siguiente:

?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se

consideran graves y prescribirán a los dos años las infracciones que supongan una

vulneración sustancial de los artículos mencionados en aquel y, en particular, las

siguientes:

(?)

f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten

apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento,

en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.

En el presente caso, concurren las circunstancias infractoras previstas en el artículo

83.5 y 83.4 del RGPD y 72.1 i) y 73 apartado f) de la LOPDGDD, arriba transcritos.

VI

A fin de determinar la multa administrativa a imponer se han de observar las

previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:

?1. Cada autoridad de control garantizará que la imposición de las multas

administrativas con arreglo al presente artículo por las infracciones del presente

Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual

efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias de cada

caso individual, a título adicional o sustitutivo de las medidas contempladas en el

artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza

, alcance o propósito de la operación de tratamiento de que se trate, así como el número

de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/9

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar

los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida

cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los

artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la

infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular

si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida

; i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas

previamente contra el responsable o el encargado de que se trate en relación con

el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación

aprobados con arreglo al artículo 42,

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,

como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente

, a través de la infracción.?

Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD

dispone:

?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento

(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación

establecidos en el apartado 2 del citado artículo.

2. De acuerdo con lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679

también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos

de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la

comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión

de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de

datos.

h) El sometimiento por parte del responsable o encargado, con carácter

voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos

supuestos en los que existan controversias entre aquellos y cualquier

interesado.?

De acuerdo con los preceptos transcritos, a efectos de fijar el importe de la sanción por

infracción del artículo 5.1 f) y 32 del RGPD, al CLUB NÁUTICO EL ESTACIO, como

responsable de las citadas infracciones tipificadas en los artículos 83.5 y 83.4 del

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/9

RGPD, procede graduar la multa teniendo en cuenta:

-El alcance en un entorno local del tratamiento llevado a cabo por la entidad

reclamada.

-El número de afectados se circunscribe a una sola persona, el reclamante.

-No se tiene constancia de que la entidad hubiera obrado dolosamente, aunque la

actuación revela una grave falta de diligencia.

-La entidad reclamada es una pequeña empresa.

Considerando los factores expuestos, la valoración que alcanza la cuantía de la multa

es de 2.000 ? por infracción del artículo 5.1 f) del RGPD, respecto a la vulneración del

principio de confidencialidad y de 1.000 ? por infracción del artículo 32 del citado

RGPD, respecto a la seguridad del tratamiento de los datos personales del

reclamante.

VII

Establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en

el Capítulo III relativo a los ?Principios de la Potestad sancionadora?, en el artículo 28

la bajo la rúbrica ?Responsabilidad?, lo siguiente:

?1. Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa

las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de

obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los

patrimonios independientes o autónomos, que resulten responsables de los mismos a

título de dolo o culpa.?

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la

Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER al CLUB NÁUTICO EL ESTACIO, con CIF G73044893, por una

infracción del artículo 32 del RGPD, y artículo 5.1.f) del RGPD, tipificada en el artículo

83.5 del RGPD, una multa de 3.000 ? (tres mil euros).

SEGUNDO: NOTIFICAR la presente resolución a CLUB NÁUTICO EL ESTACIO.

TERCERO : Advertir al sancionado que deberá hacer efectiva la sanción impuesta una

vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el

art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago

voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado

por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,

de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número

de procedimiento que figura en el encabezamiento de este documento, en la cuenta

restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia

Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso

contrario, se procederá a su recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/9

voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se

encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago

será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.

Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-131120

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es