Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00062-2020 de 08 de febrero de 2021
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 36 min
Órgano: Agencia Española de Protección de Datos
Fecha: 08/02/2021
Num. Resolución: PS-00062-2020
Cuestión
Sector:1 / 16
Procedimiento Nº: PS/00062/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : A.A.A. (en adelante, el reclamante) con fecha 20 de marzo de 2019...
Contestacion
1/16
? Procedimiento Nº: PS/00062/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: A.A.A.(en adelante, el reclamante) con fecha 20 de marzo de 2019
interpuso reclamación ante la Agencia Española de Protección de Datos. La
reclamación se dirige contra PREDASE SERVICIOS INTEGRALES SOCIEDAD
LIMITADA con NIF B02547164 (en adelante, el reclamado). Los motivos en que basa
la reclamación son los siguientes:
?[?.] SEGUNDO. - En la página de Internet con el nombre de dominio
«www.predase.es», y bajo el nombre comercial «PREDASE», se ofrecen, entre otros,
servicios de cumplimiento normativo en el ámbito del Reglamento (UE) 2016/679 y de
la Ley Orgánica 3/2018. [?]
TERCERO. - Desplazando hacia abajo la barra lateral del navegador en la página de
inicio, se tiene acceso a diversos enlaces relacionados con la presencia en distintas
redes sociales de Internet de la persona física o jurídica que actúa bajo el nombre
comercial «PREDASE».
En relación con los servicios de protección de datos, sobresale, en el margen
izquierdo de la pantalla, la imagen de un candado que incluye la leyenda «RGPD /
LOPD», [?]
CUARTO. - Al hacer clic en la imagen del referido candado, se enlaza a una
publicación en el perfil público de «PRÉDASE» en la red social Google+, en la cual
aparece un cuadrilátero que agrupa los símbolos gráficos de «PRÉDASE» y de la
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, sin distinguir entre los mismos,
y agregándose al conjunto los datos de contacto de la persona física o jurídica que
actúa bajo dicho nombre comercial. [?]
SEXTO.- En tal sentido, la agrupación de los símbolos gráficos de «PRÉDASE» y de
la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, considerados como un todo
homogéneo dentro de un mismo cuadrilátero, sin distinguir entre sus componentes, y
agregando al conjunto los datos de contacto de la persona física o jurídica que actúa
bajo dicho nombre comercial, podría ser constitutiva de un hecho ilícito consistente en
generar «la apariencia de que se está actuando en nombre, por cuenta o en
colaboración con la Agencia Española de Protección de Datos», en relación con la
publicación o comunicación indiscriminada de su oferta de servicios en materia de
protección de datos a toda su red de contactos en la red social Google+ y a
cualesquiera responsables y encargados de los tratamientos que visiten su página de
Internet con la finalidad de contratar servicios profesionales de cumplimiento
normativo en este ámbito.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/16
SÉPTIMO. - En su consecuencia, esta presunta utilización engañosa e ilegítima del
símbolo gráfico de la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS puede
suponer una práctica agresiva en materia de protección de datos, generando la
imagen de un falso aval de la citada autoridad de control en relación con los servicios
ofrecidos por la persona física o jurídica que actúa bajo el nombre comercial
«PRÉDASE».
OCTAVO. - Dicha práctica tiene su supuesta continuación en una segunda actuación
que presuntamente podría incurrir en la letra c) de la Disposición adicional
decimosexta de la Ley Orgánica 3/2018, que considera práctica agresiva en materia
de protección de datos la realización de «prácticas comerciales en las que se coarte el
poder de decisión de los destinatarios mediante la referencia a la posible imposición
de sanciones por incumplimiento de la normativa de protección de datos personales»:
?No puede ser verdad!!!!! Aún no estas adaptado al nuevo reglamente general de
protección de datos (RGPD). NO esperes a que te sancionen, infórmate en C/
***DIRECCIÓB.1 o ***URL.1? [?]
NOVENO.- Como corolario de lo hasta aquí expuesto, los hechos y elementos fácticos
relacionados en el presente escrito podrían suponer una presunta conjunción de
prácticas agresivas en materia de protección de datos, mediante una injerencia
indebida no solo en la imagen y competencias de la Agencia Española de Protección
de Datos, sino también en la autonomía de la voluntad de los responsables y
encargados de los tratamientos, a través de una presunta distorsión del espíritu de las
normas jurídicas en materia de protección de datos.
DÉCIMO. - La página de Internet con el nombre de dominio «***URL.1» no facilita la
información general que establece el artículo 10 de la Ley 34/2002, de 11 de julio, de
servicios de la sociedad de la información y de comercio electrónico.
Así mismo, pese a que dispone de un formulario de recogida de datos personales,
tampoco provee de una política de privacidad con la finalidad de dar cumplimiento con
lo establecido en los artículos 12 (derecho de transparencia) y 13 (derecho de
información) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos y
por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de
datos).?
Junto a la reclamación aporta capturas de pantalla de la web, de la red social Google+
y de Facebook a efectos probatorios de lo señalado en el escrito. Asimismo, incorpora
copia de la Escritura de Acata Notarial otorgada ante el notario de la ciudad de
***LOCALIDAD.1, D. B.B.B., en fecha 18 de marzo de 2019, Protocolo N.º 620, del
contenido de la página web que conduce al perfil de PREDASE en la red social
GOOGLE+.
SEGUNDO: El día 23 de abril de 2019 se realizan diligencias en esta Agencia para
hacer constar que, tras un análisis de la página web que constituye el objeto de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/16
reclamación (www.predase.es), no dispone la misma de identificación de su
responsable ni de información en materia de política de privacidad.
TERCERO: La reclamación fue admitida a trámite el 29 de abril de 2019.
CUARTO: A la vista de los hechos denunciados en la reclamación y de los documentos
aportados por el reclamante, la Subdirección General de Inspección de Datos procedió
a la realización de actuaciones previas de investigación para el esclarecimiento de los
hechos en cuestión, en virtud de los poderes de investigación otorgados a las
autoridades de control en el artículo 57.1 del Reglamento (UE) 2016/679 (Reglamento
General de Protección de Datos, en adelante RGPD), y de conformidad con lo
establecido en el Título VII, Capítulo I, Sección segunda, de la Ley Orgánica 3/2018,
de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales (en lo sucesivo LOPDGDD).
Como resultado de las actuaciones de investigación practicadas, el informe elaborado
por el inspector actuante pone de manifiesto lo siguiente:
? ?En cuanto al hecho de la utilización del logotipo de esta Agencia conjuntamente con
el logotipo e información de contacto de PREDASE, este queda constatado mediante
la escritura de acta notarial presentada por el reclamante del contenido de la página
web que conduce al perfil de PREDASE en la red social GOOGLE+ done aparecen
agrupados, y como un todo, el logotipo de PREDASE, el logotipo de esta Agencia, la
bandera europea, y la información de contacto de PREDASE.
? Con respecto al hecho denunciado de la publicación en la red social FACEBOOK y lo
señalado en la reclamación según la disposición adicional decimosexta, letra c) que
establece práctica agresiva en materia de protección de datos:
?Realizar prácticas comerciales en las que se coarte el poder de decisión de los
destinatarios mediante la referencia a la posible imposición de sanciones por
incumplimiento de la normativa de protección de datos personales?.
Se constata que en el perfil de FACEBOOK de PREDASE, con fecha de 12 de marzo
de 2019, se publicó el siguiente contenido:
?No puede ser verdad!!!!! Aún no estas adaptado al nuevo reglamente general de
protección de datos (RGPD). NO esperes a que te sancionen, infórmate en C/
***DIRECCIÓN.1 o ***URL.1.?
Aún a fecha de este informe se tiene acceso a esta publicación. Se graba diligencia en
el sistema SIGRID con la impresión de pantalla de la publicación.
?También se comprueba que el sitio web de PREDASE, una empresa de
asesoramiento, entre otras cuestiones, sobre protección de datos, carece de política
de privacidad y recoge datos en su formulario de contacto sin que sea necesario la
aceptación del tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/16
Se graba en el sistema SIGRID diligencia con la única página de contenido del sitio
web.
?Tampoco se informa de la titularidad del sitio web tal y como señala el artículo 10 de
la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de
comercio electrónico, haciendo mención como razón social a la marca comercial
PREDASE
? Con fecha de 28 de junio de 2019 se recibe en esta Agencia, con número de registro
032629/2019, escrito remitido por ORANGE ESPAGNE, S.A.U. informando que la
titularidad de la línea ***TELÉFONO.1 que aparece en el sitio web corresponde a
C.C.C., con DNI ***NIF.1 y domicilio de instalación en la calle ***DIRECCIÓN.1,
***LOCALIDAD.1.
? Realizada una búsqueda en el Registro Mercantil Central se ha encontrado la
sociedad PREDASE SERVICIOS INTEGRALES SOCIEDAD LIMITADA, con domicilio
coincidente con el que aparece en el sitio web denunciado y en la que el titular del
teléfono de contacto que aparece en el sitio web consta como administrador único.
Se graba en el sistema SIGRID, como objeto asociado, informe del Registro Mercantil
Central.
? Por todo lo expuesto, se puede afirmar que los hechos denunciados son ciertos y
que la sociedad responsable del sitio web referido en la reclamación es PREDASE
SERVICIOS INTEGRALES SOCIEDAD LIMITADA.?
QUINTO : Consultada con fecha 10 de marzo de 2020 la aplicación de la AEPD se
verifica que el único procedimiento sancionador en el que aparece como reclamado la
mercantil PREDASE SERVICIOS INTEGRALES SOCIEDAD LIMITADA con NIF
B02547164, es el presente procedimiento.
SEXTO: Con fecha 17 de marzo de 2020, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la
presunta infracción del artículo 13 del RGPD, tipificada en el artículo 83.5 de la citada
norma.
SÉPTIMO: Notificado el citado acuerdo de inicio, el reclamado presentó escrito de
alegaciones el 25 de junio de 2020 donde solicitaba el archivo del procedimiento
sancionador y ponía de manifiesto lo siguiente:
?[?]
Respecto al formulario de datos no se encuentra operativo (ni lo ha estado nunca). De
hecho, se trata de un añadido de una plantilla a fin de utilizar el estilo "azul popup" del
formulario de contacto. Puede ver que no muestra mensaje de error alguno en caso de
no introducir datos (o hacerlo erróneamente), ni tampoco mensaje satisfactorio en
caso de envío. Tan sólo redirige directamente a la pantalla de inicio.
Basta notar que si dicho formulario fuera funcional y operativo no se habría indicado la
dirección de correo electrónico a la izquierda del mismo (puesto que sería redundante
e innecesario).?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/16
[?]?
OCTAVO : Con fecha 10 de agosto de 2020, el instructor del procedimiento acordó la
apertura de un período de práctica de pruebas, teniéndose por reproducidos, a efectos
probatorios la reclamación interpuesta por el reclamante, los datos obtenidos y
generados por la Subdirección General de Inspección de Datos y las alegaciones
presentadas por el reclamado. Al no haberse podido notificar esta apertura de período
de práctica de pruebas, por expiración de la notificación electrónica, el día 1 de
septiembre de 2020 se remitió una reiteración del documento que fue notificada el
mismo día 1.
NOVENO: El día 5 de octubre de 2020, se incorporan al expediente las
comprobaciones realizadas los días 21, 25 y 29 de septiembre y 5 de octubre de 2020
en la web www.predase.es.
DÉCIMO: Con fecha 19 de octubre de 2020 se formuló propuesta de resolución,
proponiendo se impusiera al reclamado una sanción de apercibimiento, por una
infracción del artículo 13 del RGPD, tipificada en el artículo 83.5 de la misma norma.
En esta propuesta se concedía un plazo de 10 días para que el reclamado pudiera
alegar cuanto considerase en su defensa, así como presentar los documentos e
informaciones que considerase pertinentes, de acuerdo con el artículo 89.2 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP).
La propuesta de resolución fue notificada el día 30 de octubre y el reclamado presentó
escrito de alegaciones el día 13 de noviembre, manifestando lo siguiente:
?[?]
PRIMERO: En los puntos TERCERO, CUARTO y SEXTO (ya que no aparece el punto
QUINTO) de la denuncia, interpreta la supuesta unión de los logotipos de PRÉDASE y
de la AEPD como un intento de asociación de cara a los potenciales clientes.
Partiendo de que se trata de una mera cuestión de organización estructural del diseño
web y gráfico, cualquier persona mínimamente informada sabe distinguir entre la
Agencia Española de Protección de Datos y una empresa prestadora de servicios
(llámese PRÉDASE, AUDIDAT o cualquier otra).
Como bien indica el denunciante y aparece, claramente en mayúsculas, en la
cabecera de dicha web, dicha imagen pertenece a las REDES SOCIALES de la
empresa (no a los servicios prestados, presupuestos, facturas, ni ningún otro
documento de carácter público que pudiera, efectivamente, implicar un uso indebido
del logo de la AEPD).
Efectivamente dicha publicación se realizó el 12 de Marzo de 2019 y el enlace
corresponde a la red social Google+, que no está operativa desde el 2 de Abril de
2019 (fue cancelada por Google en dicha fecha). Siguiendo su razonamiento retorcido
y personal, el uso de los logotipos de Facebook, Google o Twitter también implicaría
un engaño a cualquier cliente que visitara su sitio web al dar lugar al equivoco de que
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/16
PRÉDASE (como en su caso AUDIDAT) forman parte o actúan en nombre de dichas
empresas.
SEGUNDO: Nuevamente en los puntos SÉPTIMO, OCTAVO y NOVENO el
denunciante vuelve a atribuirse competencias judiciales ( que rozan la injuria y la
calumnia ) al tachar directamente de "engañosa, ilícita, imagen de falsa autoridad,
prácticas agresivas o de coartar la capacidad de decisión" ( puesto que el uso del
adjetivo "presunto" antecediendo todas estas lindeces no rebaja lo más mínimo ni
resta gravedad a sus acusaciones ) lo que en cualquier empresas se trata una simple
campaña publicitaria en redes sociales.
TERCERO: En referencia al supuesto incumplimiento del Art. 10 de la Ley34/2002 de
11 de Julio, como bien habrá podido comprobar (y según asegura tiene capturas de
pantalla 'fedatadas' ante Notario) todos los datos de contacto: Nombre (comercial),
dirección, teléfono y email están claramente visibles. No siendo obligatoria para un
autónomo (denominación bajo la que operaba la empresa en el momento de su
denuncia) la inscripción en el Registro Mercantil.
No obstante, y como puede ver en documento adjunto (?Metadatos
***METADATOS.1?) y a pesar de no ser obligatorio, una simple búsqueda en los
metadatos de la web (y por tanto accesible públicamente en cualquier buscador o
navegador web) si aparecen los datos del propietario "C.C.C. - ***NIF.1" bajo el "meta
tag" ***META TAG.1.
Respecto al formulario de datos y como también habrá podido Vd. comprobar en su
intachable labor detectivesca, no se encuentra operativo (ni lo ha estado nunca). De
hecho, se trata de un añadido de una plantilla a fin de utilizar el estilo "azul popup" del
formulario de contacto. Puede ver que no muestra mensaje de error alguno en caso de
no introducir datos (o hacerlo erróneamente), ni tampoco mensaje satisfactorio en
caso de envío. Tan sólo redirige directamente a la pantalla de inicio (espero haya
dejado esto también debidamente registrado en escritura pública notarial).
Basta notar que si dicho formulario fuera funcional y operativo no se habría indicado la
dirección de correo electrónico a la izquierda del mismo (puesto que sería redundante
e innecesario).
CUARTO: Los hechos denunciados deben considerarse prescritos en base a los
apartados 1 y 2 del Art. 30 de la Ley 40/2015 de 1 de Octubre, de Régimen Jurídico
del Sector Público, por tanto aplicable a la AEPD, en cuanto a la prescripción de las
infracciones:
1. Las infracciones y sanciones prescribirán según lo dispuesto en las leyes que las
establezcan. Si éstas no fijan plazos de prescripción, las infracciones muy graves
prescribirán a los tres años, las graves a los dos años y las leves a los seis meses; las
sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas
por faltas graves a los dos años y las impuestas por faltas leves al año.
2. El plazo de prescripción de las infracciones comenzará a contarse desde el día en
que la infracción se hubiera cometido. En el caso de infracciones continuadas o
permanentes, el plazo comenzará a correr desde que finalizó la conducta infractora.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/16
Por todo lo anterior SOLICITAMOS:
Que desde la Agencia Española de Protección de Datos SE ARCHIVE LA DENUNCIA
en base tanto a la falta de veracidad de los hechos denunciados, como a la
prescripción de los plazos desde la fecha de la denuncia.
POR ÚLTIMO: Desde PRÉDASE SERVICIOS INTEGRALES S.L. (actual razón social
de la empresa) desconocemos la motivación del denunciante ante los hechos arriba
expuestos. Únicamente entendible bajo el afán de amedrentar e intentar eliminar a la
competencia mediante denuncias y actuaciones "chuscas y barriobajeras" como la
inspección detallada de nuestro sitio web (que por cierto, estamos actualizando
conjuntamente con la empresa informática, a fin de subsanar el más mínimo error).
En su afán por desacreditarnos o de que desistamos en la prestación de nuestros
servicios, el Sr. A.A.A. ( en representación de AUDIDAT ) demuestra una manifiesta
incompetencia en su denuncia al ser incapaz de localizar nuestra dirección postal a la
que dirigir la denuncia, la cual se encontraba claramente indicada en la misma web
objeto de su denuncia ( obligando de esta forma a la AEPD a recurrir a Orange
Espagne SAU a facilitar una dirección que desconocemos en absoluto y que nada
tiene que ver con nuestra mercantil ).?
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos
en el presente procedimiento se consideran hechos probados los siguientes,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/16
HECHOS
PRIMERO: PREDASE SERVICIOS INTEGRALES S.L. es una empresa de
asesoramiento en diversas materias como prevención de riesgos laborales, protección
de datos o seguros que disponía de la página web en internet ***URL.1.
SEGUNDO: La web disponía de un apartado de contacto para potenciales interesados
en sus servicios, incluyendo en dirección, teléfono, correo electrónico y un formulario
de recogida de datos.
TERCERO: La página web carecía de política de privacidad y no proporcionaba la
información regulada en el artículo 13 del RGPD, como se puso de manifiesto en las
actuaciones previas de investigación practicadas.
CUARTO: El reclamado manifiesta que el formulario no estaba operativo y que por esa
razón se facilitaba la dirección de correo electrónico.
QUINTO: La web no se encuentra accesible en las comprobaciones efectuadas los
días 21, 25 y 29 de septiembre y 5 de octubre de 2020 ya que devuelve un error de
acceso por denegación de permiso del servidor (Error 403) y objeto no encontrado
(Error 404 adicional).
SEXTO: La web continúa no accesible en las comprobaciones efectuadas los días 8 y
12 de enero de 2021, devolviendo el mismo error señalado en el hecho anterior.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de
control, y según lo establecido en los arts. 47 y 48.1 de la LOPDGDD, la Directora de
la Agencia Española de Protección de Datos es competente para resolver este
procedimiento.
II
Se imputa al reclamado la comisión de una infracción por vulneración del artículo 13
del RGPD, relativo a la información que deberá facilitarse cuando los datos se
obtengan del interesado, que establece que:
?1. Cuando se obtengan de un interesado datos personales relativos a él, el
responsable del tratamiento, en el momento en que estos se obtengan, le facilitará
toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su
representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/16
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses
legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su
caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer
país u organización internacional y la existencia o ausencia de una decisión de
adecuación de la Comisión, o, en el caso de las transferencias indicadas en los
artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las
garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o
al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los datos
personales, la siguiente información necesaria para garantizar un tratamiento de datos
leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los
datos personales relativos al interesado, y su rectificación o supresión, o la limitación
de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad
de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo
9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en
cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el
consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar
los datos personales y está informado de las posibles consecuencias de que no
facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se
refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado.
3.Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos
personales para un fin que no sea aquel para el que se recogieron, proporcionará al
interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin
y cualquier información adicional pertinente a tenor del apartado 2.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/16
4.Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la
medida en que el interesado ya disponga de la información.?
La vulneración de este artículo se tipifica como infracción en el artículo 83.5 del RGPD,
que considera como tal:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
[?]b) los derechos de los interesados a tenor de los artículos 12 a 22; [?].?
A efectos del plazo de prescripción de la infracción, el artículo 72.1 de la LOPDGDD
establece:
?En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel, y, en particular, las
siguientes:
[?] h) La omisión del deber de informar al afectado acerca del tratamiento de sus
datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento
(UE) 2016/679. [?]?.
III
El presente procedimiento sancionador tiene su origen, como se señaló en el acuerdo
de inicio y se reiteró en la propuesta de resolución, en la ausencia de política de
privacidad de la página web www.predase.es. Por lo que se refiere a los
reclamaciones relativas a prácticas agresivas en materia de protección de datos
(concretamente encuadrables en la letras b) y c) de la disposición adicional
decimosexta de la LOPDGDD: «generar la apariencia de que se está actuando en
nombre, por cuenta o en colaboración con la Agencia Española de Protección de
Datos o una autoridad autonómica de protección de datos en la realización de
cualquier comunicación a los responsables y encargados de los tratamientos en que la
remitente ofrezca sus productos o servicios» y «realizar prácticas comerciales en las
que se coarte el poder de decisión de los destinatarios mediante la referencia a la
posible imposición de sanciones por incumplimiento de la normativa de protección de
datos personales», respectivamente), se significa que su regulación se lleva a cabo
por la Ley 3/1991, de 10 de enero, de Competencia Desleal, no ostentando la Agencia
Española de Protección de Datos competencias en dicha materia.
?El artículo 5 del RGPD, relativo a los principios del tratamiento de datos personales
enuncia en su letra a el de «licitud, lealtad y transparencia», principio en el que a su
vez incide el Considerando 39: ?Todo tratamiento de datos personales debe ser lícito y
leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo,
utilizando, consultando o tratando de otra manera datos personales que les
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/16
conciernen, así como la medida en que dichos datos son o serán tratados. El principio
de transparencia exige que toda información y comunicación relativa al tratamiento de
dichos datos sea fácilmente accesible y fác8il de entender, y que se utilice un lenguaje
sencillo y claro. Dicho principio se refiere en particular a la información de los
interesados sobre la identidad del responsable del tratamiento y los fines del mismo y
a la información añadida para garantizar un tratamiento leal y transparente con
respecto a las personas físicas afectadas y a su derecho a obtener confirmación y
comunicación de los datos personales que les conciernan que sean objeto de
tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las
normas, las salvaguardias y los derechos relativos al tratamiento de datos personales
así como del modo de hacer valer sus derechos en relación con el tratamiento. En
particular, los fines específicos del tratamiento de los datos personales deben ser
explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos
personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines
para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un
mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si
la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para
garantizar que los datos personales no se conservan más tiempo del necesario, el
responsable del tratamiento ha de establecer plazos para su supresión o revisión
periódica. Deben tomarse todas las medidas razonables para garantizar que se
rectifiquen o supriman los datos personales que sean inexactos. Los datos personales
deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas
de los datos personales, inclusive para impedir el acceso o uso no autorizados de
dichos datos y del equipo utilizado en el tratamiento.?
El Considerando 60 vincula el deber de información con el principio de transparencia,
al establecer que «Los principios de tratamiento leal y transparente exigen que se
informe al interesado de la existencia de la operación de tratamiento y sus fines. El
responsable del tratamiento debe facilitar al interesado cuanta información
complementaria sea necesaria para garantizar un tratamiento leal y transparente,
habida cuenta de las circunstancias y del contexto específicos en que se traten los
datos personales. Se debe además informar al interesado de la elaboración de perfiles
y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de
los interesados, también se les deben informar si están obligados a facilitarlos y de las
consecuencias en caso de que no lo hicieran [?]». En este orden, el artículo 12.1 del
RGPD regula las condiciones para asegurar su eficaz materialización y el artículo 13
concreta qué información debe facilitarse cuando los datos se obtengan del
interesado.
A su vez, el artículo 11 LOPDGDD introduce la regla de información por capas cuando
dispone:
?1. Cuando los datos personales sean obtenidos del afectado el responsable del
tratamiento podrá dar cumplimiento al deber de información establecido en el artículo
13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la
que se refiere el apartado siguiente e indicándole una dirección electrónica u otro
medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al
menos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/16
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del
Reglamento (UE) 2016/679. [?]?.
En relación con lo expuesto, los hechos probados evidencian que la página web
disponía de un apartado de contacto para potenciales cliente en el que se incluía el
teléfono, un correo electrónico y un formulario de recogida de datos, sin que constase
ningún apartado que proporcionara la información que, conforme al artículo 13 del
RGPD, debe proporcionarse acerca del tratamiento de datos susceptible de generarse
al proporcionar daos personales a través de alguno de los medios de contacto
referidos.
Por lo que se refiere a la alegación del reclamado formulada en el escrito de
contestación de 25 de junio de 2020 al acuerdo de inicio, en el sentido de que el
formulario no se encontraba operativo y que al no recoger datos de manera efectiva se
indicaba al lado la dirección de correo electrónico, no se ha podido comprobar la
veracidad de dicha afirmación acerca de la funcionalidad del citado formulario al no ser
posible el acceso a la página web en las comprobaciones efectuadas. Ahora bien, el
hecho de que el formulario no haya estado operativo, no obsta para que la página web
deba cumplir con el deber de información establecido en el artículo 12 del RGPD y
concretado en el posterior artículo 13 para las situaciones en que la información se
obtiene del interesado, ya que la recogida de datos personales es susceptible de
realizarse también mediante el resto de medios de contacto publicados (y
particularmente, como señala el propio reclamado, mediante la dirección de correo
electrónico que se ha indicado supliendo la falta de funcionalidad del formulario).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/16
Y en lo que respecta a las alegaciones presentada por el reclamado a la propuesta de
resolución, y que se objetivan en la supuesta prescripción de la infracción imputada y
en la manifestación de que la página web se encuentra en proceso de actualización,
se señala lo siguiente:
? Respecto a la posible prescripción de la infracción, el reclamado alega que sería
aplicable los dispuesto en el artículo 30 de la Ley 40/2015, de 1 de octubre, del
Régimen Jurídico del Sector Público (en adelante, LRJSP) y que los hechos
denunciados deben considerarse prescritos ya que, según el subrayado que
acompaña a este escrito, el reclamado parece entender que la infracción imputada se
consideraría leve (y prescribiría a los 6 meses) y que el plazo comenzaría a
computarse desde el día en que se hubiera cometido. Estos argumentos no pueden
acogerse por varios motivos:
1. El artículo 30.1 de la LRJSP dispone que ?Las infracciones y sanciones
prescribirán según lo dispuesto en las leyes que las establezcan. [?]?. En este
sentido, la LOPDGDD cuenta con un Título, el IX, dedicado al régimen
sancionador. Dentro de este título, el artículo 71 establece que constituyen
infracciones los actos y conductas tipificados en el artículo 83, apartados 4, 5 y
6 del RGPD así como los contrarios a la propia LOPDGDD y dedica los
artículos 72 a 74 a determinar una gradación de las infracciones en muy
graves, graves y leves instituyendo el plazo de prescripción para cada uno de
los niveles. Por lo tanto, el plazo de cómputo de prescripción aplicable será el
dispuesto en la LOPDGDD.
2. La infracción imputada se subsume, a estos efectos de prescripción, en el
artículo 72.1.h) de la LOPDGDD y en este artículo se especifica que se
considera muy grave y que prescribirá a los 3 años. Así se refleja en el
Fundamento Jurídico V del acuerdo de inicio y se recuerda en el Fundamento
Jurídico II de la propuesta de resolución.
3. Por lo que se refiere al momento del inicio del cómputo del plazo de
prescripción, la LOPDGDD no establece ningún régimen específico, por lo que
en este punto sí es aplicable lo dispuesto en el artículo 30.2 de la LRJSP con
carácter supletorio. Pues bien, acudiendo a este artículo, se observa que se
realiza una distinción entre infracciones de comisión ?única? o continuada.
Teniendo en cuenta la naturaleza de la infracción imputada, parece claro que la
omisión del deber de proporcionar la información se mantuvo, cuando menos,
hasta la fecha del 7 de febrero de 2020, día en que se realiza la diligencia
acerca de la página web que se menciona en el informe de actuaciones previas
de inspección que se ha recogido en el Antecedente cuarto. Asimismo, este
plazo de prescripción habría quedado interrumpido por la notificación del
acuerdo de inicio, tal y como dispone el artículo 75 de la LOPDGDD.
En conclusión, por tanto, en el supuesto más favorable para el reclamado el plazo de
prescripción de 3 años habría comenzado el día 7 de febrero de 2020, quedando
interrumpido el día 5 de junio de 2020, fecha en la que tuvo lugar la notificación
efectiva del acuerdo de inicio del procedimiento sancionador.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/16
? Por lo que se refiere a la manifestación del reclamado de que la página web está en
actualización para subsanar los posibles errores, no es posible verificar la misma, ya
que, como se ha reflejado en el hecho probado sexto de esta resolución, la
mencionada web (***URL.1) no se encuentra disponible.
El resto de las alegaciones no se toman en consideración por cuanto no versan sobre
el objeto del presente procedimiento sancionador.
IV
Los poderes correctivos de los que dispone la Agencia Española de Protección de
Datos, como autoridad de control, se establecen en el artículo 58.2 del RGPD. Entre
ellos se encuentran la potestad de sancionar con apercibimiento -artículo 58.2 b)-, la
potestad de imponer una multa administrativa con arreglo al artículo 83 del RGPD
-artículo 58.2 i)-, o la potestad de ordenar al responsable o encargado del tratamiento
que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, cuando
proceda, de una determinada manera y dentro de un plazo especificado -artículo 58. 2
d)-.
Según lo dispuesto en el artículo 83.2 del RGPD, la medida prevista en el artículo 58.2
d) del citado Reglamento es compatible con la sanción consistente en multa
administrativa.
IV
A tenor de lo dispuesto por el RGPD en su art. 83.2, al decidir la imposición de una
multa administrativa y su cuantía en cada caso individual se tendrán en cuenta los
factores agravantes y atenuantes que se relacionan en el artículo señalado, así como
cualquier otro que pueda resultar aplicable a las circunstancias del caso.
A efectos de fijar la sanción a imponer al reclamado, se estima como concurrente las
siguientes circunstancias agravantes:
1. La intencionalidad o negligencia en la infracción (artículo 83.2.a) RGPD) ya que se
trata de una empresa que ofrece asesoramiento, entre otros temas en materia de
protección de datos, lo que hace exigible una mayor diligencia en el cumplimiento de
las obligaciones de la materia respecto a la que dice asesorar.
2. El carácter continuado de la infracción (artículo 76.2.a) LOPDGDD), ya que la
reclamación presentada es de fecha 20 de marzo de 2019 y la diligencia de las
actuaciones previas de inspección que corrobora el mantenimiento de la situación en
la web www.predase.es se ha llevado a cabo el 7 de febrero de 2020.
Por otra parte, se han tenido asimismo en cuenta las siguientes circunstancias
atenuantes:
1. No consta la comisión de ninguna infracción previa en materia de protección de
datos por parte del reclamado (artículo 83.2.e) RGPD).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/16
2. Se trata de una micropyme a efectos de lo dispuesto en la Recomendación de la
Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y
medianas empresas.
En base a lo anterior, procede proponer una sanción de CINCO MIL EUROS (5.000,00
?).
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la
Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a PREDASE SERVICIOS INTEGRALES S. L., con NIF
B02547164, por una infracción del artículo 13 del RGPD, tipificada en el artículo 83.5
del RGPD, una multa de CINCO MIL EUROS (5.000,00 ?).
SEGUNDO: NOTIFICAR la presente resolución a PREDASE SERVICIOS
INTEGRALES S.L. e informar a A.A.A..
TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una
vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el
art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago
voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado
por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,
de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número
de procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia
Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso
contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/16
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-131120
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es