Resolución de la Agencia Española de Protección de Datos PS-00061-2021 de 12 de marzo de 2021

Cuestión

1 / 13

Procedimiento Nº: PS/00061/2021

RESOLUCIÓN R/00197/2021 DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

En el procedimiento sancionador PS/00061/2021, instruido por la Agencia Española de

Protección de Datos a NBQ TECHNOLOGY, S.A.U. , vista la denuncia presentada por

JUZGADO DE...

Contestacion

1/13

? Procedimiento Nº: PS/00061/2021

RESOLUCIÓN R/00197/2021 DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO

VOLUNTARIO

En el procedimiento sancionador PS/00061/2021, instruido por la Agencia Española de

Protección de Datos a NBQ TECHNOLOGY, S.A.U., vista la denuncia presentada por

JUZGADO DE PRIMERA INSTANCIA E INSTRUCCIÓN NÚMERO 1 DE

***LOCALIDAD.1, y en base a los siguientes,

ANTECEDENTES

PRIMERO: Con fecha 26 de febrero de 2021, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a NBQ TECHNOLOGY,

S.A.U. (en adelante, el reclamado), mediante el Acuerdo que se transcribe:

Procedimiento Nº: PS/00061/2021

ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR

De las actuaciones practicadas por la Agencia Española de Protección de Datos y en

base a los siguientes:

HECHOS

PRIMERO: El Juzgado de Primera Instancia e Instrucción Nº 1 de ***LOCALIDAD.1,

traslada a la Agencia Española de Protección de Datos, con fecha 18 de diciembre de

2019, la sentencia nº ***SENTENCIA.1 en relación con una usurpación de identidad

en la contratación de un microcrédito, que tuvo lugar el ***FECHA.1.

La reclamación se dirige contra NBQ TECHNOLOGY, S.A.U. con NIF A-65559296 (en

adelante, la reclamada).

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/13

Se traslada una Sentencia, con fecha 18 de diciembre de 2019 por suplantación de

identidad. Se dicta sentencia nº ***SENTENCIA.1, contra D. A.A.A. con NIE ***NIE.1

por delito de estafa en la obtención de un microcrédito a través del portal web

***URL.1, siendo la entidad prestamista la parte reclamada, y para el cual D. A.A.A.

hizo uso de los datos personales de un tercero.

Documentación aportada por el Juzgado:

- Sentencia nº ***SENTENCIA.1 sobre delitos leves de estafa.

SEGUNDO: A la vista de los hechos denunciados en la reclamación y de los

documentos aportados por el reclamante, la Subdirección General de Inspección de

Datos procedió a la realización de actuaciones previas de investigación para el

esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación

otorgados a las autoridades de control en el artículo 57.1 del Reglamento (UE)

2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de

conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la Ley

Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales (en lo sucesivo LOPDGDD).

Como resultado de las actuaciones de investigación practicadas, se constata que el

responsable del tratamiento es la reclamada.

Asimismo, se constatan los siguientes extremos:

- Queda probado, según recoge la Sentencia nº ***SENTENCIA.1 que en fecha

***FECHA.1, D. A.A.A. utilizó datos de terceros para la solicitud de un microcrédito a

través del portal web ***URL.1, siendo la entidad prestamista la parte reclamada.

- El ingreso se efectuó en la cuenta de D. A.A.A., de la que es titular.

- D. A.A.A. facilitó el número de teléfono ***TELÉFONO.1 a la entidad prestamista

para verificar la operación solicitada (se envía a dicho número de teléfono un código

de verificación), siendo titular de la línea su madre.

- Como correo electrónico facilitó el siguiente ***EMAIL.1, y a esa dirección se envía el

modelo de contrato celebrado, siendo esta dirección la que D. A.A.A. facilitó a la

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/13

entidad Caja Rural de ***LOCALIDAD.2 para recibir comunicaciones de la misma

(dirección de contacto).

Con fecha 17 de febrero de 2020, se recibe en esta Agencia escrito de contestación al

requerimiento de información de la AEPD, solicitando a la parte reclamada proceda a

informar si se habían incluido los datos aportados en la solicitud del préstamo a algún

fichero de solvencia patrimonial y crédito, haciendo las siguientes manifestaciones:

?Los datos aportados en la solicitud del préstamo no se han incluido en ningún fichero

de solvencia patrimonial y crédito.

- El préstamo fue solicitado en fecha ***FECHA.1.

- El préstamo fue solicitado para un periodo de 30 días.

- El préstamo venció en fecha 16 de mayo de 2019.

- En fecha 24 de mayo de 2019 se recibió oficio policial del presunto fraude.

- En fecha 24 de mayo de 2019, nuestra entidad marco en los sistemas de

información el caso concreto como FRAUDE lo que ello conlleva

automáticamente que los datos no puedan darse de alta en ningún fichero

de morosidad.

- Nuestro proceso de inclusión en ficheros de morosidad se basa en el

servicio ?NOTIFICA RP? de Equifax. En este sentido, haciendo uso de tal

servicio, nuestra entidad no incluye a ningún cliente moroso en ningún

fichero de morosidad hasta transcurridos como mínimo 75 días desde la

fecha de vencimiento del préstamo.

A la vista de lo anterior es por lo que nuestra entidad no incluyó, y sigue sin incluir, los

datos aportados en la solicitud del préstamo en ningún fichero de solvencia patrimonial

y crédito.

En todo caso, adjuntamos captura de pantalla donde se aprecia que los datos

aportados en la solicitud del préstamo tienen la etiqueta de ?FRAUD? desde el 24 de

mayo 2019 (fecha en la esta parte recibió el oficio policial y se bloqueó el acceso a

cualquier tipo de fichero de morosidad)?.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/13

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada

autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD,

la Directora de la Agencia Española de Protección de Datos es competente para iniciar

y para resolver este procedimiento.

II

El RGPD se ocupa en su artículo 5 de los principios que han de regir el

tratamiento de los datos personales y menciona entre ellos el de ?licitud, lealtad y

transparencia?. El precepto dispone:

?1. Los datos personales serán:

a) Tratados de manera lícita, leal y transparente con el interesado;?

El artículo 6 del RGPD, ?Licitud del tratamiento?, detalla en su apartado 1 los

supuestos en los que el tratamiento de datos de terceros es considerado lícito:

?1. El tratamiento sólo será lícito si cumple al menos una de las siguientes

condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos

personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el

interesado es parte o para la aplicación a petición de este de medidas

precontractuales;

(?)?

La infracción de la que se responsabiliza a la entidad reclamada se encuentra

tipificada en el artículo 83 del RGPD que, bajo la rúbrica ?Condiciones generales para

la imposición de multas administrativas?, señala:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/13

?5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo

con el apartado 2, con multas administrativas de 20.000.000 Eur como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4% como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

a) Los principios básicos para el tratamiento, incluidas las condiciones para el

consentimiento a tenor de los artículos 5,6,7 y 9.?

La Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los

Derechos Digitales (LOPDGDD) en su artículo 72, bajo la rúbrica ?Infracciones

consideradas muy graves? dispone:

?1. En función de lo que establece el artículo 83.5 del Reglamento (U.E.)

2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que

supongan una vulneración sustancial de los artículos mencionados en aquél y, en

particular, las siguientes:

(?)

a) El tratamiento de datos personales sin que concurra alguna de las

condiciones de licitud del tratamiento establecidas en el artículo 6 del

Reglamento (UE)2016/679.?

III

De conformidad con las evidencias de las que se dispone en el presente

momento de acuerdo de inicio del procedimiento sancionador, y sin perjuicio de lo que

resulte de la instrucción, se considera que la reclamada vulneró el Art. 6.1 del RGPD,

toda vez que trató los datos personales sin que tuviese ninguna legitimación para ello.

Los datos personales fueron incorporados a los sistemas de información de la

compañía, sin que haya acreditado que hubiese contratado legítimamente, dispusiera

de habilitación legal para la recogida y el tratamiento posterior de los datos personales

de un tercero, o existiese alguna otra causa que hiciera lícito el tratamiento efectuado.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/13

Es importante resaltar que según recoge la Sentencia nº ***SENTENCIA.1 que

en fecha ***FECHA.1, D. A.A.A. utilizó los datos de terceros para la solicitud de un

microcrédito a través del portal web ***URL.1, siendo la entidad prestamista la parte

reclamada.

- El ingreso se efectuó en la cuenta de D. A.A.A., de la que es titular.

- D. A.A.A. facilitó el número de teléfono ***TELÉFONO.1 a la entidad

prestamista para verificar la operación solicitada (se envía a dicho número de teléfono

un código de verificación), siendo titular de la línea su madre.

- Como correo electrónico facilitó el siguiente ***EMAIL.1, y a esa dirección se

envía el modelo de contrato celebrado, siendo esta dirección la que D. A.A.A. facilitó a

la entidad Caja Rural de ***LOCALIDAD.2 para recibir comunicaciones de la misma

(dirección de contacto).

Pues bien, respecto de los hechos que son objeto de la presente reclamación,

debemos destacar que la parte reclamada ha reconocido dicho error y así en su

escrito de fecha 17 de febrero de 2020 ha manifestado que el préstamo denunciado ha

sido clasificado como contratación fraudulenta, y que no incluyó los datos aportados

en la solicitud del préstamo en ningún fichero de solvencia patrimonial y crédito. Así

pues, la reclamada, al contratar no tuvo las cautelas necesarias para acreditar la

legitimación del contratante.

La falta de diligencia desplegada por la entidad en el cumplimiento de las

obligaciones impuestas por la normativa de protección de datos de carácter personal

es, pues, evidente. Un cumplimiento diligente del principio de licitud en el tratamiento

de datos de terceros requiere que la responsable del tratamiento esté en condiciones

de probarlo (principio de responsabilidad proactiva).

De conformidad con las evidencias de las que se dispone en este momento

procesal, y sin perjuicio de lo que resulte de la instrucción del procedimiento, se estima

que la conducta de la parte reclamada podría vulnerar el artículo 6,1 del RGPD

pudiendo ser constitutiva de la infracción tipificada en el artículo 83.5.a) del citado

Reglamento 2016/679.

En ese sentido el Considerando 40 del RGPD señala:

?(40) Para que el tratamiento sea lícito, los datos personales deben ser tratados

con el consentimiento del interesado o sobre alguna otra base legítima establecida

conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/13

de la Unión o de los Estados miembros a que se refiera el presente Reglamento,

incluida la necesidad de cumplir la obligación legal aplicable al responsable del

tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o

con objeto de tomar medidas a instancia del interesado con anterioridad a la

conclusión de un contrato.?

IV

A fin de determinar la multa administrativa a imponer se han de observar las previsiones

de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:

?Cada autoridad de control garantizará que la imposición de las multas

administrativas con arreglo al presente artículo por las infracciones del presente

Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual

efectivas, proporcionadas y disuasorias.?

?Las multas administrativas se impondrán, en función de las circunstancias de

cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el

artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la

naturaleza, alcance o propósito de la operación de tratamiento de que se trate

así como el número de interesados afectados y el nivel de los daños y

perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento

para paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del

tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan

aplicado en virtud de los artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del

tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner

remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción,

en particular si el responsable o el encargado notificó la infracción y, en tal

caso, en qué medida;

i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido

ordenadas previamente contra el responsable o el encargado de que se trate

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/13

en relación con el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos

de certificación aprobados con arreglo al artículo 42, y

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del

caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa

o indirectamente, a través de la infracción.?

Respecto al apartado k) del artículo 83.2 del RGPD, la LOPDGDD, artículo 76,

?Sanciones y medidas correctivas?, dispone:

?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679

también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos

de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la

comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de

la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter

voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos

supuestos en los que existan controversias entre aquellos y cualquier interesado.?

De acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de la

instrucción del procedimiento, a efectos de fijar el importe de la sanción de multa a

imponer a la entidad reclamada como responsable de una infracción tipificada en

el artículo 83.5.a) del RGPD, en una valoración inicial, se estiman concurrentes en

el presente caso los siguientes factores:

En calidad de atenuante:

- Cualquier medida tomada por el responsable o encargado del tratamiento para

paliar los daños y perjuicios sufridos por los interesados (art. 83.2.c) del RGPD)

En calidad de agravantes:

- Que los hechos objeto de la reclamación son imputables a una falta de

diligencia de la parte reclamada (artículo 83.2.b, RGPD).

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/13

- Se encuentran afectados identificadores personales básicos (datos personales

(art.83.2. g) del RGPD).

- La evidente vinculación entre la actividad empresarial del reclamado y el

tratamiento de datos personales de clientes o de terceros (artículo 83.2.k, del

RGPD en relación con el artículo 76.2.b, de la LOPDGDD)

Por lo tanto, a tenor de lo anteriormente expuesto,

Por la Directora de la Agencia Española de Protección de Datos,

PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a NBQ TECHNOLOGY,

S.A.U. con NIF A-65559296, por la presunta infracción del artículo 6.1. del RGPD

tipificada en el artículo 83.5.a) del citado RGPD.

SEGUNDO: NOMBRAR instructor a D. B.B.B. y como secretaria a Dña. C.C.C.,

indicando que cualquiera de ellos podrá ser recusado, en su caso, conforme a lo

establecido en los artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen

Jurídico del Sector Público (LRJSP).

TERCERO: INCORPORAR al expediente sancionador, a efectos probatorios, la

reclamación interpuesta por el reclamante y su documentación, los documentos

obtenidos y generados por la Subdirección General de Inspección de Datos.

CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de

octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la

sanción que pudiera corresponder sería de 20.000 euros (veinte mil euros), sin

perjuicio de lo que resulte de la instrucción.

QUINTO: NOTIFICAR el presente acuerdo a NBQ TECHNOLOGY, S.A.U. con NIF A-

65559296, otorgándole un plazo de audiencia de diez días hábiles para que formule

las alegaciones y presente las pruebas que considere convenientes. En su escrito de

alegaciones deberá facilitar su NIF y el número de procedimiento que figura en el

encabezamiento de este documento.

Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo

podrá ser considerado propuesta de resolución, según lo establecido en el artículo

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/13

64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de

las Administraciones Públicas (en lo sucesivo, LPACAP).

De conformidad con lo dispuesto en el artículo 85 de la LPACAP, en caso de que la

sanción a imponer fuese de multa, podrá reconocer su responsabilidad dentro del

plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio; lo

que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en

el presente procedimiento. Con la aplicación de esta reducción, la sanción quedaría

establecida en 16.000 euros, resolviéndose el procedimiento con la imposición de esta

sanción.

Del mismo modo podrá, en cualquier momento anterior a la resolución del presente

procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que

supondrá la reducción de un 20% de su importe. Con la aplicación de esta reducción,

la sanción quedaría establecida en 16.000 euros y su pago implicará la terminación del

procedimiento.

La reducción por el pago voluntario de la sanción es acumulable a la que corresponde

aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento

de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular

alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida

en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En

este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría

establecido en 12.000 euros.

En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará

condicionada al desistimiento o renuncia de cualquier acción o recurso en vía

administrativa contra la sanción.

En caso de que optara por proceder al pago voluntario de cualquiera de las cantidades

señaladas anteriormente, 16.000 euros o 12.000 euros, deberá hacerlo efectivo

mediante su ingreso en la cuenta nº ES00 0000 0000 0000 0000 0000 abierta a

nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK,

S.A., indicando en el concepto el número de referencia del procedimiento que figura en

el encabezamiento de este documento y la causa de reducción del importe a la que se

acoge.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/13

Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de

Inspección para continuar con el procedimiento en concordancia con la cantidad

ingresada.

El procedimiento tendrá una duración máxima de nueve meses a contar desde la

fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.

Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de

actuaciones; de conformidad con lo establecido en el artículo 64 de la LOPDGDD.

Por último, se señala que conforme a lo establecido en el artículo 112.1 de la LPACAP,

contra el presente acto no cabe recurso administrativo alguno.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

>>

SEGUNDO : En fecha 9 de marzo de 2021, el reclamado ha procedido al pago de la

sanción en la cuantía de 12.000 euros haciendo uso de las dos reducciones previstas

en el Acuerdo de inicio transcrito anteriormente, lo que implica el reconocimiento de la

responsabilidad.

TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a

la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía

administrativa contra la sanción y el reconocimiento de responsabilidad en relación con

los hechos a los que se refiere el Acuerdo de Inicio.

FUNDAMENTOS DE DERECHO

I

En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de

control, y según lo establecido en el art. 47 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en

lo sucesivo LOPDGDD), la Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/13

es competente para sancionar las infracciones que se cometan contra dicho

Reglamento; las infracciones del artículo 48 de la Ley 9/2014, de 9 de mayo, General

de Telecomunicaciones (en lo sucesivo LGT), de conformidad con lo dispuesto en el

artículo 84.3 de la LGT, y las infracciones tipificadas en los artículos 38.3 c), d) e i) y

38.4 d), g) y h) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la

información y de comercio electrónico (en lo sucesivo LSSI), según dispone el artículo

43.1 de dicha Ley.

II

El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica

?Terminación en los procedimientos sancionadores? dispone lo siguiente:

?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,

se podrá resolver el procedimiento con la imposición de la sanción que proceda.

2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una

sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la

improcedencia de la segunda, el pago voluntario por el presunto responsable, en

cualquier momento anterior a la resolución, implicará la terminación del procedimiento,

salvo en lo relativo a la reposición de la situación alterada o a la determinación de la

indemnización por los daños y perjuicios causados por la comisión de la infracción.

3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el

órgano competente para resolver el procedimiento aplicará reducciones de, al menos,

el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.

Las citadas reducciones, deberán estar determinadas en la notificación de iniciación

del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de

cualquier acción o recurso en vía administrativa contra la sanción.

El porcentaje de reducción previsto en este apartado podrá ser incrementado

reglamentariamente.

De acuerdo con lo señalado, la Directora de la Agencia Española de Protección de

Datos RESUELVE:

PRIMERO: DECLARAR la terminación del procedimiento PS/00061/2021, de

conformidad con lo establecido en el artículo 85 de la LPACAP.

SEGUNDO: NOTIFICAR la presente resolución a NBQ TECHNOLOGY, S.A.U..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por

el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas, los interesados podrán interponer recurso

contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/13

Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

936-031219

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es