Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00140-2022 de 20 de abril de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 118 min
Órgano: Agencia Española de Protección de Datos
Fecha: 20/04/2023
Num. Resolución: PS-00140-2022
Cuestión
1 / 50Procedimiento Nº: PS/00140/2022.
RESOLUCION DEL PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes:
ANTECEDENTES
PRIMERO: Con fecha 28/05/21, tiene entrada en esta Agencia, escrito presentado por
D. A.A.A. (...
Contestacion
1/50
? Procedimiento Nº: PS/00140/2022.
RESOLUCION DEL PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes:
ANTECEDENTES
PRIMERO: Con fecha 28/05/21, tiene entrada en esta Agencia, escrito presentado por
D. A.A.A. (en adelante, ?la parte reclamante?), contra la entidad, KFC RESTAURANTS
SPAIN, S.L., (KFC) con CIF.: B86281599, titular de la página web, https://www.kfc.es ,
(en adelante, ?la parte reclamada?) por la presunta vulneración de la normativa de
protección de datos: Reglamento (UE) 2016/679, del Parlamento Europeo y del
Consejo, de 27/04/16, relativo a la Protección de las Personas Físicas en lo que
respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos
(RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y Garantía de los Derechos Digitales (LOPDGDD).
En dicha reclamación se indicaba lo siguiente:
?La empresa KFC Restaurants Spain SL no sigue las directrices del RGPD en
su web https://www.kfc.es. Se detallan todas las infracciones a continuación:
- No se puede acceder de forma sencilla a la política de privacidad para usuarios
del EEE adaptada al RGPD (https://www.kfc.es/multimarcas), pues el enlace
de política de privacidad visible públicamente en la parte inferior de la web
lleva a una para los EEUU (https://www.kfc.es/privacidad).
- Al crear una cuenta en el sitio web (https://www.kfc.es/cuenta/registro), no es
posible el registro sin seleccionar la casilla "Acepto los términos y condiciones
de uso para recibir ofertas especiales y promociones por parte de KFC y
Franquiciados", es decir, te obligan a recibir ofertas especiales y promociones.
En ningún momento se menciona ni enlaza a la política de privacidad ni a su
aceptación en el momento del registro, solo a "términos y condiciones de uso",
que lleva a un aviso legal.
- El reclamado es una entidad que desarrolla actividades de publicidad y
prospección comercial, y llevan a cabo tratamientos basados en las
preferencias de las personas afectadas o realizan actividades que impliquen la
elaboración de perfiles de las mismas según su política de cookies y política de
privacidad, por lo que están obligados a disponer de una persona Delegada de
Protección de Datos, y no lo tienen.
- En la política de privacidad: (a) no se detallan los destinatarios de la
información personal · (b) no aparecen detallados los datos del responsable en
materia de protección de datos (razón social, NIF, domicilio social); (c) se
detalla la posibilidad de hacer transferencias internacionales de datos, y no se
informa al interesado de la existencia de decisiones de adecuación, garantías,
normas corporativas vinculantes o situaciones específicas aplicables. Solo se
usan fórmulas genéricas como garantías adecuadas. Tampoco se explica el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/50
procedimiento para obtener una copia de estas o de que se prestaron; (d) no
se detalla el tiempo de conservación de los datos, se utilizan fórmulas
genéricas como "durante el tiempo necesario"
SEGUNDO: Con fecha 29/06/21 y 12/07/21, de conformidad con lo estipulado en el
artículo 65.4 de la Ley LOPDGDD, por parte de esta Agencia, se dio traslado de dicha
reclamación a la parte reclamada, para que procediese a su análisis e informase, en el
plazo de un mes, sobre lo que se exponía en el escrito de reclamación.
Según certificado del Servicio de Notificaciones Electrónicas y Dirección Electrónica, el
escrito de solicitud enviado a la parte reclamada, el día 29/06/21, a través del servicio
de notificaciones electrónicas ?NOTIFIC@?, fue rechazado en destino el día 10/07/21.
Según certificado de la Sociedad Estatal Correos y Telégrafos, el escrito de solicitud
enviado a la parte reclamada, el día 12/07/21 a través del servicio de notificaciones
postales de Correos, fue notificado en destino el 22/07/21.
TERCERO: Con fecha 20/08/21, la entidad reclamada, presentó escrito de
contestación a la solicitud realizada desde esta Agencia, en el cual, entre otras,
manifestaba:
?a.- La web www.kfc.es facilita la información de protección de datos en doble
capa: La primera capa se ubica en la URL www.kfc.es/privacidad e incluye
información sobre los tratamientos de datos personales realizados por las
diferentes marcas de la compañía y detalla, entre otras, las siguientes: a) El
tipo de información tratada; b) Las finalidades del tratamiento; c) Los
tratamientos automatizados que pueden realizarse; d) Las categorías de
destinatarios de los datos; e) Las opciones y control sobre la información; f)
Cómo se almacena y protegen los datos; g) Enlace a la política de privacidad
para el Espacio Económico Europeo y Reino Unido; h) Información relativa a la
privacidad de menores; i) Información de contacto.
La segunda capa se ubica en la URL www.kfc.es/multimarcas , y detalla,
completando la información de primera capa, el resto de información requerida
por el artículo 13 del RGPD: a. Base jurídica del tratamiento; b.
Almacenamiento y transferencia de datos; c. Información sobre los derechos
que asisten a los interesados y forma de ejercerlos; d. Información de contacto;
e. Anexos con el detalle de las categorías de datos personales tratados, las
finalidades del tratamiento y las bases jurídicas para el tratamiento de los
mismos.
Esta segunda capa se encuentra accesible de forma directa a pie de página
desde ?Aviso de Privacidad? que dirige a la URL www.kfc.es/multimarcas con
la información específica para los residentes en el EEE y Reino Unido e incluye
el resto de información requerida por el artículo 13 del RGPD.
Del mismo modo, la Política de privacidad debe incluir la siguiente declaración
en la parte superior para dirigir a los usuarios a las divulgaciones
jurisdiccionales particulares: ?Consulte nuestra Política de privacidad global a
continuación vigente para su jurisdicción. Consulte el apartado 7 Divulgaciones
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/50
jurisdiccionales para encontrar información de privacidad adicional específica
de su estado o país?.
El no tener esta declaración es una omisión con respecto a nuestras políticas
de privacidad globales, que corregiremos junto con el resto de los cambios y
mejoras a realizar y derivadas de la presente reclamación. Fecha de
implementación: estos cambios estarán aplicados a 30 de septiembre de 2021.
b.- Imposibilidad de crear una cuenta si no se acepta el envío de ofertas
especiales y promociones:
El espacio de creación de cuentas web está diseñado para permitir la creación
de cuentas sin que se deba aceptar el envío de ofertas especiales y
promociones. No obstante, debido a un error o fallo en la configuración del
formulario, los textos correspondientes a ambos checkboxes de aceptación,
incluyen la autorización para la recepción de ofertas especiales y promociones.
El texto del primer checkbox es correcto, siendo este el correspondiente a la
aceptación expresa por el usuario para la recepción de ofertas y promociones
de KFC y es de marcación opcional.
El texto del segundo checkbox únicamente debería recoger la aceptación de
los términos, condiciones de uso y la política de privacidad, aunque por error
se incluyó la coletilla ?para recibir ofertas especiales y promociones? cuando
debía exponer ?Acepto los términos y condiciones de uso y la política de
privacidad para registrarme en www.kfc.es?, y es de marcación obligatoria. Si
bien el texto del checkbox indica que la autorización se refiere a la recepción
de ofertas y promociones, el tratamiento interno de la autorización se limita a la
aceptación para la creación de la cuenta de usuario.
Una vez detectado el error, desde KFC se procederá a su corrección y
modificación para que los textos de los checkboxes se correspondan con las
autorizaciones. Fecha de implementación: estos cambios ya se han aplicado.
Se adjunta captura de pantalla del formulario de creación de cuenta.- Anexo II.
c.- En el formulario no se proporciona enlace a las políticas de privacidad toda
vez que estas han de ser aceptadas para la creación de una cuenta.
El enlace del formulario de creación de cuentas web está diseñado para
permitir acceder a los términos y condiciones de uso y la política de privacidad.
No obstante, debido a un error o fallo en la configuración del hiperenlace este
apunta a la Nota Legal en lugar de a los textos correctos.
Una vez detectado el error, desde KFC se procederá a su corrección y
modificación para que el hiperenlace apunte a los términos y condiciones de
uso. Fecha de implementación: estos cambios ya se han aplicado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/50
d.- No se ha nombrado a un Delegado de Protección de Datos habida cuenta
que la entidad desarrolla actividades de publicidad y prospección comercial y
lleva a cabo tratamientos basados en las preferencias de las personas
afectadas o realizan actividades que implican la elaboración de perfiles de las
mismas.
Desde KFC interpretamos que, por la naturaleza de los tratamientos de datos
llevados a cabo, no nos encontramos obligados a la designación de un
Delegado de Protección de Datos dado que, no nos encontramos en ninguno
de los supuestos específicos establecidos por el artículo 37.1 del RGPD.
Con relación a estos supuestos, debemos remarcar lo dispuesto en el apartado
b del artículo 37.1 RGPD establece que se estará obligado a designar a un
DPO ?cuando las actividades principales del responsable o del encargado
consistan en operaciones de tratamiento que, debido a su naturaleza, alcance
o fines, requieran una observación habitual y sistemática de interesados a gran
escala?.
Tal y como establece el considerando 97 del RGP se entiende que las
actividades principales de un responsable están relacionadas con «sus
actividades primarias y no están relacionadas con el tratamiento de datos
personales como actividades auxiliares, por tanto, las actividades principales»
pueden considerarse las operaciones clave necesarias para lograr los objetivos
del responsable o del encargado del tratamiento».
A este respecto, la actividad principal de KFC no se concreta en el tratamiento
de datos de usuarios de la página web www.kfc.es, sino que ésta es una
actividad auxiliar a la principal, que es la prestación de servicios de
restauración a nuestros clientes, y ésta se realiza, principalmente, sin la
necesidad de tratar datos personales de los mismos y de forma presencial en
nuestros restaurantes y locales. Los pedidos realizados a distancia, bien a
través de la web www.kfc.es, bien por otros canales, se tratan como actividad
auxiliar a la principal y, debido a la naturaleza del servicio, requieren del
tratamiento de determinados datos de los usuarios y clientes para la
facturación y entrega de los pedidos.
Del mismo modo, para que resulte la obligación de designación de un DPD, el
tratamiento debe requerir una observación habitual y sistemática de
interesados.
A este respecto, el Grupo de Trabajo del artículo 29 interpreta «habitual» con
uno o más de los siguientes significados: ? continuado o que se produce a
intervalos concretos durante un periodo concreto; ? recurrente o repetido en
momentos prefijados; ? que tiene lugar de manera constante o periódica.
Y «sistemático» con uno o más de los siguientes significados: ? que se
produce de acuerdo con un sistema; ? preestablecido, organizado o metódico;
? que tiene lugar como parte de un plan general de recogida de datos; ?
llevado a cabo como parte de una estrategia.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/50
A este respecto, debido a la naturaleza y finalidad del tratamiento de los datos,
como se ha indicado anteriormente, la gestión y facturación de los pedidos
realizados a instancia de los clientes y usuarios a través de la página web,
consideramos que no puede considerarse como observación habitual y
sistemática de interesados.
Del mismo modo, para que nazca la obligación de designación de un DPD, el
tratamiento de datos personales debe realizarse a gran escala. A pesar de que
el RGPD no define qué se entiende por tratamiento a gran escala, tanto el
considerando 91 del RGPD como el Grupo de Trabajo del artículo 29 dan
orientaciones al respecto, teniendo en cuenta los siguientes factores a la hora
de determinar si un tratamiento se realiza a gran escala: el número de
interesados afectados, bien como cifra concreta o como proporción de la
población correspondiente; el volumen de datos o la variedad de elementos de
datos que son objeto de tratamiento; la duración, o permanencia, de la
actividad de tratamiento de datos; el alcance geográfico de la actividad de
tratamiento.
El tratamiento de datos se limita a aquellos clientes y usuarios que desean
realizar pedidos a través de nuestra página web, existiendo otros canales para
la realización de pedidos a distancia. El volumen o variedad de datos objeto del
tratamiento se limita a los necesarios para la realización de los pedidos en
cumplimiento del principio de minimización de los datos. Del mismo modo, el
número total de usuarios registrados en la web www.kfc.es no excede de
20.000 y se limita a los clientes y usuarios dentro del territorio nacional,
España. KFC no cumple ninguno de los anteriores factores por lo que no
consideramos el tratamiento de datos de clientes y usuarios realizado a gran
escala.
Por todo lo anteriormente expuesto, desde KFC hemos venido considerando
que no nos encontrábamos obligados a designar un Delegado de Protección
de Datos. No obstante, y a tenor de la reclamación recibida, si desde la AEPD
creen que existen evidencias suficientes de que ciertas actividades del
tratamiento requieran que nombremos a un Delegado de Protección de Datos,
lo tomaremos en consideración para reevaluar los requisitos legales para su
designación.
e.- En las políticas de privacidad:
No se detallan los destinatarios de los datos personales. La política de
privacidad general incluida en la URL www.kfc.es/privacidad incluye en su
apartado 4 la información relativa a cómo se comparte la información de los
usuarios, y en su apartado 7 las revelaciones jurisdiccionales, con relación a la
comunicación de datos realizada a las autoridades públicas en función del
estado o país de residencia del usuario. El apartado 4 de la política de
privacidad describe hasta 10 categorías diferentes de destinatarios de los
datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/50
A este respecto, el RGPD en su artículo 13.1 e) indica que el responsable del
tratamiento deberá informar de los destinatarios o las categorías de
destinatarios de los datos personales, en su caso.
Del mismo modo, la propia AEPD en su Guía para el cumplimiento del deber
de informar en su epígrafe 7.4 Destinatarios, indica lo siguiente: ?Cuando se
haya previsto ceder o comunicar, legítimamente, los datos personales que se
recogen se informarán acerca de la identidad de los destinatarios, si están
claramente predeterminados, o de las categorías de destinatarios, si estos no
están determinados previamente.?
En este caso y dado que se trata de una política de privacidad general que
aplica a todas las marcas y para diferentes territorios, los destinatarios no
están predeterminados y por ello se facilita únicamente información sobre las
categorías de destinatarios a los que pueden ser comunicados los datos,
incluyendo la finalidad o propósito de la comunicación de estos.
Entendemos que la información facilitada en la política de privacidad general
cumple con lo requerido por el artículo 13.1 e) del RGPD en cuanto a la
facilitación de información referente a las categorías de destinatarios.
Sobre la No aparición de los detalles del responsable en materia de protección
de datos. En este caso, debido al carácter general de ambas políticas de
privacidad incluidas en la web www.kfc.es -general aplicable a todos los
territorios y específica para residentes en el EEE, RU y Suiza-, la identificación
del responsable del tratamiento se encuentra en la Nota Legal.
Tomamos nota de esta carencia e incorporaremos esta mejora para dotar de
mayor claridad y transparencia a la información facilitada en las políticas de
privacidad, redirigiendo a los usuarios a la Nota Legal en la política de
privacidad para la identificación del responsable del tratamiento en cada
territorio, incluido España. Estos cambios estarán aplicados a finales de sep.
2021.
Se detalla la posibilidad de hacer transferencias internacionales de datos, pero
no se informa al interesado de la existencia de decisiones de adecuación,
garantías, normas corporativas vinculantes o situaciones específicas
aplicables.
El aviso de privacidad específico para EEE y Reino Unido informa a los
usuarios de la posibilidad de realizar transferencias internacionales, se incluye
mención a que, de hacerse, KFC se asegurará de que:
a) la información personal se transfiera a países reconocidos por ofrecer un
nivel de protección equivalente; o
b) la transferencia se realiza de conformidad con las protecciones adecuadas,
como las cláusulas tipo sobre protección de datos adoptadas por la Comisión
Europea. Sin perjuicio de estas medidas, el país y la jurisdicción a los que se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/50
transfieren los datos pueden proporcionar un nivel de protección de datos
inferior al previsto en la legislación del EEE o del Reino Unido.
Si bien esta información pueda parecer demasiado genérica, tomamos nota e
incorporaremos una mejora para dotar de mayor claridad y transparencia a la
formación facilitada en la política de privacidad, redirigiendo a los usuarios a
las direcciones de contacto de cada responsable en cada territorio, para que
puedan solicitar información adicional sobre las transferencias internacionales
que puedan realizarse y las garantías adecuadas utilizadas para garantizar el
nivel de seguridad adecuado en las mismas.
Se adjunta captura de pantalla relativa a la información facilitada sobre
trasferencias internacionales como Anexo III. Fecha de implementación: estos
cambios estarán aplicados a 30 de septiembre de 2021.
d. No se detalla el tiempo de conservación de los datos.
La política de privacidad incluida en la URL www.kfc.es/privacidad incluye en
su apartado 6 la información relativa al periodo de retención de los datos.
el RGPD en su artículo 13.1 a) indica que el responsable del tratamiento
deberá informar del plazo durante el cual se conservarán los datos personales
o, cuando no sea posible, los criterios utilizados para determinar este plazo.
En este caso y dado que se trata de una política de privacidad general que
aplica a todas las marcas y para diferentes territorios, los plazos de retención
de los datos no están predeterminados y por ello se facilita únicamente
información relativa a los criterios de conservación de los mismos, indicándose
que se conservarán ?el tiempo razonablemente necesario para mantener el
Servicio, cumplir con las obligaciones legales y contables, y los demás fines
descritos en esta Política, o según lo requiera o permita la ley.?
Se adjunta como Anexo IV la información relativa al periodo de retención de los
datos. Por tanto, entendemos que la información facilitada en la política de
privacidad general cumple con lo requerido por el artículo 13.1 a) del RGPD en
cuanto a la facilitación de información referente a los plazos de conservación
de los datos o los criterios para establecer dichos plazos.
No obstante, y como si bien esta información pueda parecer demasiado
genérica, tomamos nota e incorporaremos una mejora para dotar de mayor
claridad y transparencia a la información facilitada en la política de privacidad,
incorporaremos criterios de conservación o plazos de conservación más
concretos al aviso de privacidad específico para el EEE y RU. Fecha de
implementación: estos cambios estarán aplicados a 30 de septiembre de 2021.
CUARTO: Con fecha 25/10/21, por parte de la Directora de la Agencia Española de
Protección de Datos se dicta acuerdo de admisión de trámite de la reclamación
presentada, de conformidad con el artículo 65 de la Ley LPDGDD, al apreciar posibles
indicios racionales de una vulneración de las normas en el ámbito de las competencias
de la Agencia Española de Protección de Datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/50
QUINTO: Con fecha 30/11/21 y 09/02/22, en el marco de las actuaciones practicadas
por la Subdirección General de Inspección de Datos con objeto de aclarar ciertos
hechos de los cuales ha tenido conocimiento esta Agencia Española de Protección de
Datos, y en uso de las facultades conferidas por el artículo 58.1 RGPD y el art. 67
LOPDGDD se requirió a la entidad reclamada que ampliara información sobre: a).- el
listado de actividades de la entidad que implican tratamientos de datos personales,
detallando expresamente si se realizan tratamientos de clientes para fines
publicitarios; b).- para cada actividad se debe aportar: número de datos de clientes que
tratan, variedad de elementos de datos de cada cliente que son objeto de tratamiento,
tiempo durante el que se tratan los datos de cada cliente y detalle de la permanencia
de dichos datos en sus sistemas de información; el alcance geográfico o territorial de
los tratamientos detallando si sus sistemas tratan datos relativos a clientes de un
determinado ámbito territorial o de todo el territorio nacional y c).- resumen de los
análisis que realizados por su entidad para evaluar la necesidad de nombrar un DPD,
indicando si lo han nombrado y en caso afirmativo si está comunicado y publicado.
SEXTO: Con fecha 01/03/22 y 10/03/22, la entidad reclamada envía a esta Agencia,
sendos escritos de contestación al requerimiento realizado por esta Agencia, en los
cuales, entre otras, informa de los siguientes aspectos:
?Se aporta extracto del Registro de Actividades del Tratamiento (RAT) en
donde se reflejan todas las actividades del tratamiento llevadas a cabo por
KFC en relación con actividades publicitarias con clientes, indicándose el
número de datos de clientes cuyos datos se tratan y la tipología de datos
tratados para cada actividad, así como el tiempo durante el cual se tratan
dichos datos.
A este respecto, desde KFC se dispone de un calendario de conservación de
datos y protocolo interno de conservación / eliminación de datos personales
toda vez han dejado de ser necesarios. Cabe resaltar que desde KFC no se
realizan, en ningún caso, análisis de perfiles; las actividades del tratamiento
relacionadas con el envío de información comercial se realizan en base al
consentimiento del usuario (sistema de opt-in) y sin segmentación de usuarios.
Las actividades del tratamiento relacionadas con la publicidad se llevan a cabo
siempre con el consentimiento previo del usuario, a diferencia de las
actividades de tratamiento relacionadas con el cumplimiento de los pedidos de
los usuarios que se llevan a cabo sobre la base de la ejecución de un contrato.
El alcance geográfico de las actividades del tratamiento es España, siendo la
gestión de los datos centralizada para todo el territorio nacional.
Sobre los análisis realizados por su entidad para evaluar la necesidad de
nombrar un DPD, indicando si lo han nombrado y en caso afirmativo, si está
comunicado y publicado:
A este respecto, desde KFC se ha entendido que no existe la obligación de
designación del DPD, debido a que las actividades del tratamiento realizadas
no se circunscriben a las del art 37 RGPD ni la entidad se encuentra entre las
obligadas en el art 34 LOPDGDD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/50
Del mismo modo, la gestión de cumplimiento en materia de protección de datos
viene siendo ejercida por personal interno especialista en protección de datos,
en particular, desde UK, a través de B.B.B., Global Privacy Lead CounselHead
y la consultoría de expertos externos en cada uno de los países desde los que
se opera.
No obstante, y como ya se indicó anteriormente, internamente se procederá a
evaluar periódicamente la necesidad designación del mismo, en función de los
posibles cambios operacionales así como el inicio de nuevas ramas de negocio
que puedan suponer la incorporación de nuevas actividades del tratamiento, el
con el objeto de ofrecer mayores garantías de cumplimiento a nuestros clientes
y usuarios en cuanto a las actividades y procedimientos en el tratamiento de
datos personales, en particular, si se iniciasen actividades del tratamiento para
la elaboración de perfiles.
II.- Que en fecha 1 de Marzo de 2022 se presentó escrito de solicitud de
ampliación de plazo habida cuenta de la complejidad y volumen de
información y/o documentación a gestionar al objeto de estar en disposición de
cumplimentar el requerimiento referido de la forma más adecuada posible para
el buen fin de la tramitación del requerimiento, así como la necesidad de
coordinar la respuesta con la empresa matriz en Estados Unidos, Yum
Restaurants International Management LLC, confirmándose por la AEPD la
concesión de dicha ampliación de plazo.
III.- Que, en virtud del citado requerimiento, se aporta a esta Agencia la
documentación requerida como sigue: Copia de extracto Registro de
Actividades del Tratamiento relacionadas con clientes y con finalidades
publicitarias como Anexo I y Copia de Análisis Interno realizado para evaluar la
necesidad de nombrar DPD como Anexo II
SÉPTIMO: Con fecha 21/03/22, por parte de esta Agencia, al acceder a la ?Política de
Privacidad? de la página web, www.kfc.es , se pudieron constatar las siguientes
características:
a).- Sobre la obtención del consentimiento de los usuarios para el tratamiento de sus
datos personales:
1º.- A través del enlace: >, situado en la parte superior de la página
principal, la web redirige a una nueva página https://www.kfc.es/cuenta/registro donde
el usuario puede registrarse en la web y donde se le solicita el nombre, apellidos,
teléfono, email y número de tarjeta de crédito.
Para poder enviar el formulario, el usuario debe cliquear obligatoriamente la opción:
_ Acepto los >.
También existe la posibilidad de inscribirse voluntariamente, para recibir ofertas
especiales y promociones, cliqueando en la opción
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/50
_ Quiero inscribirme para recibir ofertas especiales, sorteos y promociones por
parte de KFC y/o sus franquiciados. Para más información, visite nuestra
>. >
2º.- A través del enlace: >, situado en la parte superior de la
página principal, la web redirige a una nueva página https://www.kfc.es/store-selection
donde se pueden realizar la selección del pedido y la opción de recibirlo en el domicilio
o recogerlo en el establecimiento.
Una vez seleccionado el pedido, para tramitarlo, la web redirige al usuario a una nueva
página https://www.kfc.es/checkout, donde se deben introducir los datos personales
del usuario: nombre, apellidos, teléfono, email y número de tarjeta de crédito.
Para poder enviar el formulario, el usuario debe cliquear obligatoriamente la opción:
_ Acepto los >.
También existe la posibilidad de inscribirse voluntariamente, para recibir ofertas
especiales y promociones, cliqueando en la opción
_ Quiero inscribirme para recibir ofertas especiales, sorteos y promociones por
parte de KFC y/o sus franquiciados. Para más información, visite nuestra
>.
>
3º.- A través del enlace: >, situado en el menú situado en la
parte superior derecha, la web redirige a una nueva
https://www.kfc.es/nosotros/trabaja-en-kfc donde el usuario puede inscribirse o darse
de alta, para recibir ofertas de trabajo, en el enlace: https://kfc.epreselec.com/General/
Alta.aspx
Una vez introducido los datos personales: nombre, apellidos, email, DNI, el usuario
debe cliquear obligatoriamente en las casillas:
_ No soy un Robot.
_ He leído, entiendo y acepto la >
Existe también un banner con la siguiente información:
Información básica de Protección de Datos: Responsable: KFC IBERIA;
Finalidades: Incluir en la base de datos de candidatos de la Empresa los datos
del currículum vitae que nos facilitas al crear tu cuenta con nosotros para
usarlos en futuros procesos de selección en los que tu perfil pueda encajar;
Legitimación: Consentimiento del interesado; Destinatarios: No comunicaremos
sus datos a terceros salvo obligación legal y a las empresas que se indican en
la información adicional.
4º.- Por último, también existe la posibilidad de proporcionar datos personales a la
entidad a través de la página de suscripción a las ofertas y promociones especiales,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/50
https://www.kfc.es/subscripcion, donde el usuario debe proporcional el nombre,
apellidos y email.
Antes de poder enviar el boletín de suscripción, el usuario debe cliquear en la opción
de aceptarlo:
_ Quiero inscribirme para recibir ofertas especiales, sorteos y promociones por
parte de KFC y/o sus franquiciados. Para más información, visite nuestra
>.
b).- Sobre la ?Política de Privacidad?:
1º.- Si se accede a las cláusulas de los ?Términos de Uso? de la web, a través de los
enlaces existentes en los diferentes formularios o a través del enlace existe en la parte
inferior de la página principal, la web redirige a una nueva página
https://www.kfc.es/nota-legal , donde se proporciona información, entre otros, sobre
los siguientes aspectos:
(?) Contacto: las webs son propiedad y están dirigidos por kfc restaurant spain
s.l. una empresa registrada en España, cuyo domicilio social se encuentra en
serrano Galvache 56, edificio madroño, piso 3, kfc, Madrid, 28033. cif:
B86281599. para ponerse en contacto con nosotros, llame al teléfono +34 917
68 07 30.
Registro: Protección de datos: recogeremos, almacenaremos y trataremos su
información personal de acuerdo con nuestra política de privacidad. por favor,
lea nuestra > para asegurarse de que está satisfecho
y entiende su contenido antes de crear una cuenta.
Términos y condiciones para los pedidos realizados a través del móvil:
protección de datos: recogeremos, almacenaremos y trataremos su
información personal de acuerdo con nuestra >. por
favor, lea nuestra política de privacidad para asegurarse de que está satisfecho
y entiende su contenido antes de crear una cuenta.
Si no está satisfecho con el servicio que ha recibido, póngase en contacto con
nosotros a través de clientes@kfc.es o +34 91 904 18 81 (?)
2º.- Si se accede a la ?Política de Privacidad? de la web, a través de los enlaces
existentes en los diferentes formularios o a través del enlace existe en la parte inferior
de la página principal, la web redirige a una nueva página
https://www.kfc.es/privacidad, donde se proporciona información, entre otros, sobre
los siguientes aspectos:
?Sobre la información personal que recopilan; Cómo utilizan la información
personal; Qué información se puede recopilar automáticamente; Cómo
comparten la información recopilada; Sobre las opciones y control sobre la
información recopilada, Cómo almacenan y protegen la información; Sobre la
normativa jurisdiccional de Europa se indica expresamente lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/50
?Cuando tengamos un establecimiento en el espacio económico europeo
(?EEE?), el Reino Unido o Suiza, o estemos procesando datos personales
relacionados con personas ubicadas en el EEE, el Reino Unido o Suiza, haga
> para obtener información adicional sobre nuestras prácticas de
privacidad de datos; Sobre la privacidad de los niños; Sobre los enlaces a otros
sitios web y servicios; Cómo ponerse en contacto con los responsables del sitio
web; Y sobre los cambios en la política de privacidad (?)?.
3º.- Si se accede a la ?Aviso de Privacidad? de la web, a través del enlace existe en la
parte inferior de la página principal, la web redirige a una nueva página
https://www.kfc.es/multimarcas, donde se proporciona información específica sobre el
tratamiento de los datos personales obtenidos en EEE, Reino Unido o Suiza y entre
ella, se encuentra la siguiente información:
? Sobre el e Responsable del Tratamiento: KFC España: KFC Restaurants
Spain, S.L. con NIF B86281599 y domicilio en Calle Serrano Galvache (Pq.
Empresarial Pq. Norte), 56 - Edif. Olmo Quinta Planta, Madrid, Madrid. Correo
electrónico: clientes@kfc.es . Teléfono: 91 904 18 81. Sobre la base jurídica
para el tratamiento de datos. Sobre la base del consentimiento otorgado y
sobre el derecho a retirar en cualquier momento su consentimiento, cuando lo
haya otorgado. Sobre el almacenamiento y transferencia de datos en el EEE y
el Reino Unido. Sobre los derechos individuales de los residentes en el EEE y
cómo ejercitarlo, y el derecho a presentar una reclamación ante su autoridad
local. Cómo ponerse en contacto con el responsable de la web.
Además de la información proporcionada en la ?Política de Privacidad? y en el ?Aviso
de Privacidad? se adjuntan dos anexos con la siguiente información:
- Anexo 1 se exponen detalladamente las categorías de información personal recopiladas
, así como la base jurídica en la que se basan para tratar la información
personal y los destinatarios de dicha información personal.
- Anexo 2 se exponen las categorías de información personal que recopilan y
cómo utilizan dicha información. La tabla también enumera la base jurídica en
la que se basan para tratar la información personal y los destinatarios de dicha
información personal.
OCTAVO: Con fecha 31/05/22, por parte de la Directoria de la Agencia Española de
Protección de Datos, se inicia procedimiento sancionador a la entidad reclamada, al
apreciar indicios razonables de vulneración de lo establecido en los artículos:
a).- Infracción del artículo 6.1 del RGPD por la inexistencia de un mecanismo
que permita a los usuarios prestar su consentimiento al tratamiento sus datos
personales para todas y cada una de las finalidades a las que destinaran los
datos personales, cuando esto corresponda, con una sanción inicial de 30.000
euros (treinta mil euros).
b).- Infracción del artículo 37 del RGPD, por la falta de nombramiento de un
Delegado de Protección de Datos; con una sanción inicial de 20.000 euros
(veinte mil euros)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/50
c).- Infracción del artículo 13 del RGPD, por la falta de información suministrada
en la ?Política de Privacidad? sobre el tratamiento de los datos personales
obtenidos, con una sanción inicial de 5.000 euros (cinco mil euros).
Según certifica El servicio de Dirección Electrónica Habilitada Única (DEHÚ), el escrito
de incoación de expediente enviado a la parte reclamada, el día 31/05/22 a través del
servicio de notificaciones electrónicas ?NOTIFIC@?, fue puesto a disposición de la
parte reclamada 01/06/2022, constando en el certificado como fecha de rechazo
automático, el 12/06/22.
Aunque la notificación se practicó válidamente por medios electrónicos, dándose por
efectuado el trámite conforme a lo dispuesto en el artículo 41.5 de la LPACAP, a título
informativo se envió una copia del escrito de incoación de expediente por correo postal
que fue entregado en destino el 26/07/22.
NOVENO: Notificado el acuerdo de inicio a la parte reclamada, ésta mediante escrito
de fecha 09/08/22 formuló, en síntesis, las siguientes alegaciones:
PRIMERA.- RESPECTO DE LA PROPUESTA DE SANCIÓN POR
INFRACCIÓN DEL ARTÍCULO 6.1. DEL RGPD.
1.1. LA ACTIVIDAD INVESTIGADORA DE LA AEPD ES INSUFICIENTE PARA
ORDENAR EL INICIO DEL PROCEDIMIENTO SANCIONADOR
Dispone el artículo 53 de la Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales (en
adelante, «LOPDGDD»):
«1. Quienes desarrollen la actividad de investigación podrán recabar las
informaciones precisas para el cumplimiento de sus funciones, realizar
inspecciones, requerir la exhibición o el envío de los documentos y datos
necesarios, examinarlos en el lugar en que se encuentren depositados o en
donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar
los equipos físicos y lógicos y requerir la ejecución de tratamientos y
programas o procedimientos de gestión y soporte del tratamiento sujetos a
investigación».
Por su parte, el artículo 67 de la LOPDGDD, dispone lo siguiente: 1. Antes de
la adopción del acuerdo de inicio de procedimiento, y una vez admitida a
trámite la reclamación si la hubiese, la Agencia Española de Protección de
Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr
una mejor determinación de los hechos que justifican el procedimiento».
Es decir, corresponde a la AEPD la ejecución de las labores de investigación
suficientes para determinar el alcance de potenciales infracciones cometidas
con anterioridad a dictar el acuerdo de inicio de cualquier procedimiento
sancionador. Y ello de conformidad con lo dispuesto en el artículo 68 de la
LOPDGDD; especificando dicho artículo que el inicio del procedimiento para el
ejercicio de la potestad sancionadora procederá una vez concluidas las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/50
actuaciones investigadoras de la AEPD y, en todo caso, si como resultado de
dichas investigaciones es procedente el inicio de tal procedimiento.
A tenor de lo expuesto, conviene destacar que los motivos por los que la AEPD
propone sanción de 30.000 euros en el marco del presente procedimiento
sancionador se encuentran expuestos en las páginas 31 y 32 del Acuerdo de
Inicio de Procedimiento Sancionador. Dichos motivos se resumen en que KFC
realiza tratamientos de datos personales para finalidades «redactadas de
forma genérica, que permiten un tratamiento posterior ilimitado, una vez
cumplido el fin para el que fueron obtenidos».
Al respecto, la AEPD ampara su decisión ?ello sin tener en cuenta las
circunstancias agravantes, que serán debidamente refutadas posteriormente
en este escrito? ÚNICA Y EXCLUSIVAMENTE en el redactado de la política de
privacidad que está publicada en la página web de KFC al momento de llevar a
cabo la AEPD su labor de investigación. Y ello, sin tener en cuenta que:
Las finalidades indicadas en la política de privacidad sobre las que se propone
sanción describen situaciones potenciales y no implican que sean
efectivamente llevadas a cabo, o bien son llevadas a cabo de manera
totalmente lícita como se expondrá; y lo más importante, tales ulteriores
tratamientos por los que se propone sanción no están recogidos en el Registro
de Actividades de Tratamiento aportado ya a la AEPD, lo que supone una clara
falta de contraste por parte de la AEPD a la hora de determinar la eventual
existencia y alcance de la presunta infracción cometida y el cálculo de la
sanción propuesta.
KFC está cumpliendo en todo momento con sus obligaciones en materia de
protección y de datos y en concreto con aquellas derivadas de la licitud de los
tratamientos de datos personales que sí lleva a cabo en consonancia con el
artículo 6 del RGPD. Sin ir más lejos, nada dice la AEPD sobre los formularios
de recogida de datos personales que transcribe en las páginas 13 a 16 del
Acuerdo de Inicio de Procedimiento Sancionador. Los mismos evidencian el
buen proceder de KFC y la correcta gestión que hace a la hora de recoger
datos personales de sus interesados y la ajustada información por capas que
suministra sobre los tratamientos que efectivamente realiza.
No obstante, la AEPD propone sanción por la infracción del artículo 6 del
RGPD contra KFC por la inclusión en su política de privacidad de tratamientos
que incluyen términos como: «podemos utilizar»; o «podemos compartir» que
en absoluto pueden concluir que KFC efectivamente lleve a cabo tratamiento
alguno. La AEPD en su Acuerdo de Inicio de Procedimiento Sancionador está
hablando de tratamientos hipotéticos sin ningún tipo de evidencia que sustente
que los mismos se están efectivamente llevando a cabo.
Es más, tal y como se expuso en la fase de información previa que precede a
este procedimiento sancionador, el Registro de Actividades de Tratamiento de
KFC requerido y debidamente aportado en tiempo y forma ante la AEPD,
incorpora los tratamientos de clientes con fines publicitarios. Entre dichos
tratamientos no se encuentra ninguno de los que ahora menciona la AEPD
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/50
para proponer sanción. Por mucho que la política de privacidad de KFC dejara
abierta la posibilidad de tratar datos con fines de «realizar perfiles, programas
de recompensa o de fidelización a los clientes; para compartir, vender o
divulgar la información obtenida a la empresa matriz, a otras empresas del
grupo o a filiales que no sea para la gestión administrativa o para vender,
compartir o divulgar los datos personales obtenidos», lo cierto es que dichos
tratamientos no son realizados en la actualidad por KFC, como consta
debidamente del citado Registro de Actividades de Tratamiento aportado al
expediente, el cual no dice nada al respecto sobre dichos tratamientos, ni
sobre las comunicaciones de datos a terceros que se mencionan (y no puede
decirlo, pues dichos tratamientos no son realizados por nuestra empresa).
Además, KFC no realiza ninguna actividad relacionada con un programa de
recompensa o fidelización de clientes. Esto no ha sido confirmado por la AEPD
en la transcripción de los textos de privacidad aportados a este procedimiento
ni por el denunciante en su reclamación.
La actividad investigadora de la AEPD en las presentes actuaciones fue
exclusivamente la de requerir a KFC a aportar:
«Listado de actividades de la entidad que implican tratamientos de datos
personales, detallando expresamente si se realizan tratamientos de clientes
para fines publicitarios Para cada actividad se debe aportar:
O número de datos de clientes que tratan, O variedad de elementos de datos
de cada cliente que son objeto de tratamiento, O tiempo durante el que se
tratan los datos de cada cliente y detalle de la permanencia de dichos datos en
sus sistemas de información; O el alcance geográfico o territorial de los
tratamientos detallando si sus sistemas tratan datos relativos a clientes de un
determinado ámbito territorial o de todo el territorio nacional».
De haber observado las incongruencias existentes entre lo descrito en el
Registro de Actividades de Tratamiento de KFC y lo informado en su política de
privacidad, la AEPD debería haber continuado su labor investigadora y no
debería haber propuesto sanción ante la clara y evidente falta de elementos de
convicción que permitieran tan si quiera intuir que KFC había cometido
infracción alguna del RGPD de la naturaleza aquí descrita.
A modo ilustrativo, se acompaña el RAT aportado al procedimiento de
requerimiento de información E/12752/2021 seguido ante esta Agencia: 1.2.
EN LA POLÍTICA DE PRIVACIDAD INVESTIGADA SE IDENTIFICAN
TRATAMIENTOS QUE SÍ SE PUEDEN LLEVAR A CABO Y EXISTE BASE
LEGITIMADORA SUFICIENTE PARA ELLO
Sin perjuicio de lo descrito en la Alegación 1.1. anterior, y de que KFC nunca
ha llevado a cabo los tratamientos descritos en el Acuerdo de Inicio de
Procedimiento Sancionador de la AEPD, es de destacar que incluso en el caso
de que los tratamientos de datos personales indicados por la AEPD hubieran
tenido lugar, los mismos son identificados en la política de privacidad de KFC
que se transcribe en el referido Acuerdo de Inicio de Procedimiento
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/50
Sancionador y carece de fundamento proponer sanción con base en el artículo
6.1 del RGPD.
La AEPD propone sanción a KFC por llevar a cabo tratamientos ulteriores a los
identificados en la política de privacidad de KFC con base en el artículo 6.1 del
RGPD, pero en realidad la única forma por la que tiene noticia de dichos
tratamientos es precisamente por lo indicado en la política de privacidad de
KFC.
Esto es, se está proponiendo sanción por llevar a cabo tratamientos ulteriores
que sí que están identificados en la propia política de privacidad de KFC. De
hecho, es la propia AEPD la que, para justificar su propuesta de sanción extrae
párrafos de la política de privacidad de KFC en los que se indica que KFC
podrá llevar a cabo dichos tratamientos con respecto de sus interesados.
Lo que no debe confundirse es la ejecución de tratamientos con finalidades
ulteriores, por un lado, con el deber de transparencia ex artículo 13 del RGPD
por otro, a la hora de describir dichos tratamientos y sus bases legitimadoras. Y
es que, para esto, la AEPD ya está proponiendo sanción según es de ver en la
página 40 del Acuerdo de Inicio de Procedimiento Sancionador. A KFC ya se la
está proponiendo sanción por incumplimiento del deber de transparencia, y la
realidad es que la AEPD está maquillando una segunda sanción por falta de
transparencia escudada en una inverosímil infracción del artículo 6.1 del RGPD
a partir de evidencias que precisamente se obtienen de la propia política de
privacidad de KFC. Es incongruente de todo punto proponer una sanción a un
responsable del tratamiento por llevar a cabo un tratamiento ulterior
identificado en su propia política de privacidad precisamente debido a que el
fundamento principal de sancionar por un tratamiento ulterior reside en un
tratamiento de datos para un fin distinto del informado inicialmente ?
Considerando 50 RGPD?.
En todo caso, podemos hablar de una omisión de identificación de las bases
legitimadoras de cada uno de los tratamientos que la AEPD identifica en su
Acuerdo de Inicio de Procedimiento Sancionador, pero como se verá, la falta
de transparencia sobre la identificación de las bases legitimadoras no implica
un tratamiento de datos personales ilícito:
Cuando se habla de «personalización de su experiencia con nosotros» la
AEPD está confundiendo la elaboración de perfiles con una actividad de mera
segmentación con la exclusiva finalidad de llevar a cabo actividades de
mercadotecnia perfectamente compatibles con las normas de protección de
datos y con los criterios del Comité Europeo de Protección de Datos, así como
del Grupo de Trabajo del Artículo 29. El hecho de que KFC ajuste la oferta de
sus productos y servicios a las preferencias expresadas por sus clientes
durante la compra de productos es inherente a la actividad de cualquier
empresa que esté debidamente organizada y que lleve a cabo una actividad
diligente y orientada al mejor servicio a sus clientes.
El Grupo de Trabajo del Artículo 29, en sus Directrices sobre decisiones
individuales automatizadas y elaboración de perfiles a los efectos del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/50
Reglamento 2016/679, de 3 de octubre de 2017, indica que las actividades de
segmentación de usuarios pueden tratarse con distintas bases legitimadoras,
entre ellas, la ejecución de la relación contractual entre el cliente y el
responsable del tratamiento, y el interés legítimo perseguido por el responsable
del tratamiento, en este caso KFC.
Lo cierto, es que, hasta la fecha, la AEPD no ha requerido a KFC a indicar la
base legitimadora de este tratamiento de datos personales por cuanto está
proponiendo una sanción por una infracción desacertada e inexistente.
Asimismo, la segmentación que se desprende del redactado de la política de
privacidad de KFC coincide con los parámetros expuestos por el Grupo de
Trabajo del Artículo 29 para basar dicho tratamiento bien en la ejecución de la
relación contractual, o bien en el interés legítimo de KFC: de la lectura de la
política de privacidad no se desprende la elaboración por parte de KFC de un
perfil exhaustivo ni detallado sujeto a previo consentimiento del interesado,
máxime si tenemos en cuenta la actividad principal de KFC, que no es otra que
la venta de pollo frito en establecimientos físicos.
¿Cuál puede ser el grado de exhaustividad del perfilado para la venta de
productos de este tipo? ¿si el cliente prefiere un cubo de pollo frito o una
hamburguesa de pollo? Desde luego, no puede llegarse a la conclusión de que
se estén llevando a cabo actividades de perfilado sujetas a consentimiento a
partir de la información de la que dispone la AEPD.
En lo que respecta al tratamiento de geolocalización que indica la Agencia,
debe ponerse de relieve, que nuestra política de privacidad dice claramente en
la sección «5. Sus opciones y control sobre su información» que sólo se tratará
bajo el consentimiento del interesado: consentimiento que, además, viene
complementado por las opciones de configuración de privacidad que se
ofrecen a los usuarios y que se explican de forma clara en nuestra política de
privacidad.
El otro de los tratamientos identificados por la AEPD es «promocionar nuestros
programas de afinidad y recompensas»: esto claramente lo puede hacer KFC,
tanto para aquellos clientes que han dado su consentimiento con fines
promocionales, como para cualquier otro cliente conforme a lo dispuesto en el
artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la
Información y de Comercio Electrónico. Además de que, como se ha indicado,
no es un tratamiento ulterior, es un tratamiento claramente identificado en la
política de privacidad y claramente vinculado con la propia actividad de KFC
vinculada al tratamiento de los datos de las personas que, voluntariamente, se
registran en nuestra página web.
En lo que respecta a la comunicación de datos personales tanto con terceros
como intragrupo, indicar que la sección 4 de la política de privacidad de KFC
identifica todas las categorías de terceros que pueden acceder a datos
personales de los interesados y bajo qué circunstancias. De nuevo, no
estamos hablando de una cuestión de tratamientos ulteriores ex artículo 6.1.
del RGPD sino de si la información suministrada es suficientemente
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/50
transparente, para lo cual, ya se está proponiendo sanción (por lo que la que
se propone ahora no procede, en función del principio de non bis in idem).
Por último, en cuanto a considerar contraria al art 6.1 RGPD la referencia en
nuestra política de privacidad a ?proveedores de servicios? como destinatarios
de los datos de nuestros usuarios web registrados, no puede estar más fuera
de lugar, por los siguientes motivos:
Reiteramos: en cualquier caso, lo anterior supondría una supuesta vulneración
del artículo 13 RGPD, para cuya presunta vulneración por parte de KFC ya se
propone sanción por lo que, de nuevo, no procede volver a sancionar en base
al artículo 6.1 RGPD por aplicación del principio non bis in idem;
Pero es que, además, compartir datos de nuestros usuarios registrados con
proveedores de servicios, con los cuales KFC tiene debidamente firmados los
correspondientes contratos de encargo de tratamiento, no es en absoluto
ningún tratamiento de datos ulterior al tratamiento principal de los datos de
dichos usuarios, sino algo intrínsecamente vinculado a dicho tratamiento
principal. Cualquier persona con conocimientos elementales de economía sabe
de la existencia de la cadena de valor, y de que toda actividad económica está
soportada por la concurrencia de proveedores externos a los cuales se confía
una gestión más eficiente de los procesos productivos de cualquier
organización
Si lo anterior no fuese suficiente, el propio art. 13 RGPD permite de forma
expresa identificar a los destinatarios de datos por «categorías» de los mismos,
con lo cual, con la referencia a proveedores externos, se cumple de forma
dichos precepto a la hora de proporcionar información a nuestros usuarios
registrados.
SEGUNDA.- RESPECTO DE LA PROPUESTA DE SANCIÓN POR
INFRACCIÓN DEL ARTÍCULO 37 DEL RGPD.
Identifica la AEPD una posible infracción cometida por KFC por no haber
designado un delegado de protección de datos estando obligada a ello según
los criterios del artículo 37 del RGPD, mencionando los criterios establecidos
por el Grupo de Trabajo del Artículo 29 para determinar la necesidad de
designar un delegado de protección de datos.
En lo que no coincide esta parte con la actuación de la AEPD en el presente
procedimiento es en la forma de aplicar las Directrices sobre Delegados de
Protección de Datos al presente supuesto de hecho para concluir que KFC
debe designar un delegado de protección de datos.
A continuación, se exponen las conclusiones a las que llega esta parte para
considerar que los elementos indicados en el artículo 37.1 b) del RGPD no se
cumplen y que, por lo tanto, no es necesaria la designación de un delegado de
protección de datos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/50
(i) Respecto de la «actividad principal»: De acuerdo con lo especificado por el
Grupo de Trabajo del Artículo 29, las actividades principales deben asociarse a
aquellas actividades y «operaciones clave necesarias para lograr los objetivos»
de cualquier compañía en su actividad comercial.
La AEPD hace uso de ejemplos tales como hospitales o empresas de
seguridad privada cuyas operaciones y actividades están íntimamente ligadas
al tratamiento de datos personales ?datos de salud, y vigilancia sistemática
respectivamente?. Ahora bien, la actividad principal de KFC es la prestación de
servicios de restauración en puntos de venta físico a través de sus
franquiciados sin que sea necesario tratamiento de datos personales alguno
relativos a los consumidores de dichos productos.
No tiene sentido que la AEPD en la página 43 del Acuerdo de Inicio de
Procedimiento Sancionador, indique que el objeto social no tiene relación con
la actividad principal, y luego use el objeto social de KFC para decir que está
obligada a designar un delegado de protección de datos. Pero es que, además,
nuestra página web no constituye en absoluto el centro de la actividad de KFC,
sino que es, únicamente, uno de los canales que KFC utiliza para poner en
contacto a los consumidores de nuestros productos con los franquiciados a
través de los cuales pueden adquirirse nuestros productos (entre los otros
canales de los que se sirve KFC para conseguir tal finalidad está la publicidad
en medios de comunicación, la publicidad en vías públicas, las campañas de
patrocinio y esponsorización, las alianzas con terceras organizaciones, etc?).
En consecuencia, resulta palmario que KFC no hace uso de su sitio web como
punto de venta principal de sus productos (dichos puntos de venta principal son
y serán siempre los establecimientos de su red de franquiciados). Como
indicado anteriormente, las ventas de KFC en línea durante 2021, ascendieron
a 2.530.000 euros. Esto es un 1.1 % del total de ventas totales de KFC en
España a través de sus franquiciados; por lo tanto, indicar que «la naturaleza
de la actividad del demandante requiere indisolublemente el tratamiento de
datos personales, sin los cuales su desarrollo devendría imposible» es una
conclusión que no sólo es errónea e imprecisa desde el momento en que el
grueso de los ingresos de KFC en España proviene de ventas distintas a las de
su página web, si no que, además, está carente de cualquier prueba por parte
de la Agencia.
En esta misma línea se pronuncia precisamente el RGPD en su Considerando
97 al entender que «las actividades principales de un responsable están
relacionadas con sus actividades primarias y no están relacionadas con el
tratamiento de datos personales como actividades auxiliares». Teniendo en
cuenta la desproporción de las ventas on-line de KFC respecto de su volumen
de ventas totales, difícilmente puede entenderse que tal actividad sea
considerada como primaria y, por ende, como principal.
En síntesis, si se siguiera el criterio expuesto por la AEPD, toda empresa que
disponga de una página web como canal complementario de su actividad
estaría obligada a designar un delegado de protección de datos, y esta
conclusión vaciaría de contenido los artículos 37 del RGPD y 34 de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/50
LOPDGDD, y sería palmariamente contrario a la letra y al espíritu de la norma
en cuanto a esta obligación específica de designación de un responsable de
velar por el cumplimiento de la normativa de privacidad.
Respecto de «la observación habitual y sistemática»: No puede coincidir la
actividad de KFC en su página de internet con las definiciones dadas por la
propia AEPD por cuanto ni existe «un plan general de recogida de datos» ni se
lleva a cabo «como parte de una estrategia», ni la AEPD aporta prueba ni
evidencia alguna de tales acusaciones. Lo único que sucede con los datos
personales tratados en el entorno web de KFC de sus clientes es que realizan
pedidos para recibir comida a domicilio o recogerla en establecimientos
franquiciados de KFC y se realizan campañas y acciones promocionales para
fidelizar clientes. En ningún caso realizando un seguimiento sistematizado de
los interesados. Las tareas de geolocalización sólo se producen, como es
obvio y evidente, cuando el interesado desea ubicar una tienda próxima a él,
cuando desea recibir el pedido en su domicilio, o cuando ?existiendo base
legitimadora apropiada? desea recibir información promocional del lugar en el
que se encuentra. Esto en ningún caso es constante en el tiempo y sólo se
produce a petición del usuario que hace uso del sitio web de KFC y tras haber
obtenido su consentimiento.
Respecto del tratamiento «a gran escala»: Llegados a este punto, nos
remitimos íntegramente a lo indicado en la Alegación Cuarta posterior. El
volumen de datos de clientes que realizaron pedidos en el entorno en línea de
KFC en 2021 asciende a 110.000 registros, los cuales realizaron 153.439
pedidos; otros 100.000 registros son los que recibieron comunicaciones
comerciales durante 2021. Todos ellos, limitados al ámbito geográfico de
España para unas finalidades concretas e identificadas en la política de
privacidad.
Sumado a ello, el riesgo en el tratamiento es bajo, por cuanto no se tratan
datos de las categorías establecidas en los artículos 9 y 35 del RGPD, así
como tampoco concurren las circunstancias indicadas a tal efecto en las guías
y directrices del Grupo de Trabajo del Artículo 29, ni en las condiciones
indicadas en el artículo 28 de la LOPDGDD. Todo ello, según es de ver el
Registro de Actividades de Tratamiento de constante referencia.
Sumado a ello, debe ponerse de manifiesto que la AEPD en toda la fase de
investigación no ha podido vincular los datos tratados por KFC en su página
web a ninguna app y mucho menos a una app de amplia implantación (lo cual
es un término demasiado ambiguo como para considerarse criterio suficiente
como para proponer una sanción de 20.000 euros).
Por último, en lo que concierne a la geolocalización debe de indicarse que,
como se ha especificado antes, dicha actividad no se encuentra recogida en
ninguna norma de protección de datos como un dato de alto riesgo o
especialmente protegible. El único ejemplo lo podemos encontrar en el artículo
28.2 apartado d) de la LOPDGDD, y al respecto debe matizarse que dicha
geolocalización, en realidad se corresponde con una monitorización
sistemática destinada a la generación de perfiles y basada en la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/50
geolocalización y seguimiento de movimientos; cosa que en absoluto realiza
KFC.
Los anteriores elementos, valorados en su conjunto, en absoluto pueden
determinar que KFC deba designar un delegado de protección de datos y
confirman el análisis jurídico al procedimiento de requerimiento de información
E/12752/2021, en el que KFC confirmaba haber llevado a cabo los análisis
pertinentes y concluido que no necesitaban designar a tal figura. Lo que
convierte a esta segunda propuesta de sanción en improcedente.
TERCERA.- RESPECTO DE LA PROPUESTA DE SANCIÓN POR
INFRACCIÓN DEL ARTÍCULO 13 DEL RGPD.
Considera la AEPD que a partir de la lectura de la política de privacidad de
KFC y de la descripción de finalidades del tratamiento que en ella se hace,
KFC está cometiendo una infracción del artículo 13 del RGPD por cuanto no
está cumpliendo con el deber de transparencia que le es exigible al informar a
sus interesados sobre las finalidades de los tratamientos que lleva a cabo.
Para ello, aplica los criterios establecidos en el artículo 74 de la LOPDGDD y
califica la infracción como leve. A este respecto, KFC no tiene nada que añadir
y se remite a lo indicado en la Alegación Primera de este escrito de
alegaciones, sin perjuicio de reseñar que, como la propia AEPD constata en su
resolución de inicio de procedimiento sancionador, durante todo el proceso de
información previa que antecede al presente procedimiento KFC ha ido
mejorando su política de privacidad en aquellos aspectos en que, conforme a
los requerimientos de información recibidos de la propia AEPD, se ha
entendido eran susceptibles de mejora. Ahora bien, la AEPD impone por tal
incumplimiento una sanción que excede de los criterios para imposición de
sanciones establecidos en el propio RGPD. Sin ir más lejos, el Considerando
148 del RGPD establece lo siguiente:
«A fin de reforzar la aplicación de las normas del presente Reglamento,
cualquier infracción de este debe ser castigada con sanciones, incluidas multas
administrativas, con carácter adicional a medidas adecuadas impuestas por la
autoridad de control en virtud del presente Reglamento, o en sustitución de
estas. En caso de infracción leve, o si la multa que probablemente se
impusiera constituyese una carga desproporcionada para una persona física,
en lugar de sanción mediante multa puede imponerse un apercibimiento».
Lo cierto es que no existen antecedentes sancionadores en materia de
protección de datos que comprometan a KFC, y la entidad ya se encuentra en
trámites de actualizar la información que facilita a sus interesados en entornos
digitales. Considera KFC que no concurriendo circunstancias agravantes para
la imposición de sanción alguna ?como se expone a continuación? y
atendiendo a lo expuesto en las distintas alegaciones, así como que la
infracción se ha calificado como leve, corresponde un apercibimiento como
sanción en lugar de la multa de 5.000 euros que se propone por la AEPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/50
CUARTA.- NO CONCURREN CIRCUNSTANCIAS AGRAVANTES QUE
INCREMENTEN LA CUANTÍA DE LAS SANCIONES PROPUESTAS
Para determinar el importe de las sanciones propuestas por la AEPD por
importe de 30.000 y 20.000 euros, la propia Agencia recurre a dos elementos
que en nada se acercan a la realidad de la actividad comercial de KFC en
España.
El primero de ellos, hace referencia a la intencionalidad de la infracción
cometida. Para ello, la AEPD basa su razonamiento en la Sentencia de la
Audiencia Nacional de 17 de octubre de 2007. Dicha sentencia especifica que
para valorar el grado de diligencia exigible al responsable del tratamiento debe
atenderse a determinar si «la actividad de la recurrente es de constante y
abundante manejo de datos de carácter personal».
Lo cierto es que, aunque se lleven a cabo actividades en entornos digitales ?la
venta de productos de KFC en internet? y pueda desprenderse que se lleva un
tratamiento de datos constante, BAJO NINGÚN CONCEPTO dicho tratamiento
de datos constante deben entenderse automáticamente por abundante, por el
mero hecho de que KFC sea una marca reconocida en España. El Registro de
Actividades de Tratamiento aportado al procedimiento de requerimiento de
información E/12752/2021 indica claramente que el número total de usuarios
registrados a través del sitio web de KFC en España en 2021 no supera los
110.000, los cuales realizaron 153.439 pedidos en 2021, y el número de
registros que reciben comunicaciones comerciales (opt-in) es de 100.000;
siendo estos los datos máximos de interesados vinculados a los tratamientos
por los que la AEPD propone sanción.
Hemos de recordar que el Grupo de Trabajo del Artículo 29, Directrices sobre
los delegados de protección de datos (DPD), especifica qué criterios han de
tenerse en cuenta para considerar que existe un tratamiento de datos a gran
escala, o abundante, como indica la Audiencia Nacional:
«En cualquier caso, el Grupo de Trabajo recomienda que se tengan en cuenta
los siguientes factores, en particular, a la hora de determinar si el tratamiento
se realiza a gran escala:
el número de interesados afectados, bien como cifra concreta o como
proporción de la población correspondiente; el volumen de datos o la variedad
de elementos de datos que son objeto de tratamiento; la duración, o
permanencia, de la actividad de tratamiento de datos; el alcance geográfico de
la actividad de tratamiento».
En el presente caso, debe indicarse que los datos de usuarios on-line por parte
de KFC (110.000 usuarios registrados), con respecto al total de la población
española que compra por internet (28,5 millones de ciudadanos) es ínfimo1, tan
sólo es el 0,00385 % del total. La variedad de datos de dichos usuarios
registrados de KFC, como la propia AEPD reconoce, también es reducida pues
se tratan únicamente datos de contacto, datos de ubicación y datos
identificativos para prestar los servicios y proveer los productos ofertados. La
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/50
duración del tratamiento según indicado en el Registro de Actividades de
Tratamiento es de 5 años como máximo. Y el alcance geográfico está limitado
a España.
Por todo ello, la aplicación de esta agravante resulta de todo punto
improcedente. Además, y en lo que concierne particularmente a la sanción
relativa a no designar delegado de protección de datos, es de todo punto
improcedente aplicar tal agravante de culpabilidad, por cuanto KFC ha
realizado ?y así lo ha demostrado? las evaluaciones pertinentes para
considerar que no es necesario designar un delegado de protección de datos.
De confirmarse la sanción, tal agravante no debería ser tenida en cuenta por
cuanto KFC ha tomado todas las cautelas cumpliendo con su deber de
responsabilidad proactiva para analizar la necesidad de designar delegado de
protección no considerándolo necesario.
En segundo lugar, y respecto del segundo agravante propuesto por la AEPD,
cuesta creer que se imponga a KFC un agravante en la sanción propuesta por
«el nivel de implementación de la entidad KFC en la economía del país». Al
respecto, se ponen de relieve los siguientes datos:
De acuerdo con los datos del Instituto Nacional de Estadística en su Encuesta
sobre el uso de TIC y del comercio electrónico en las empresas del Año 2020 ?
Primer trimestre de 2021 (https://www.ine.es/prensa/tic_e_2020_2021.pdf)-, el
volumen de ventas realizadas por empresas a través de comercio electrónico
en 2020 ascendió a 275.011.398.000 euros. Los 2,5 millones de euros de
ventas realizadas por KFC a través de su página web no supone más que el
ínfimo 0,00009 % del total nacional de ventas realizadas por comercio
electrónico.
Asimismo, de acuerdo con el estudio publicado por la entidad Adevinta y
denominado «el comercio online se consolida en España: el 86% de la
población compra y vende a través de internet»
(https://www.adevinta.es/stories/articles/comercio-onlineconsolida-pulsodigital), «el 48% de la población española realizó todo el proceso de compra
por internet». Esto es, casi 23 millones de personas en España. Los 110.000
usuarios registrados en la página web de KFC representan la ínfima proporción
de 0,00478% de los mencionados 23 millones.
Desde luego, el criterio agravante planteado por la AEPD no tiene cabida
desde el momento en que es muy cuestionable que KFC por su actividad online
y a la vista de los datos expuestos, tenga un nivel de implantación
relevante en la economía española, máxime si se tiene en cuenta que los 2,5
millones de euros facturados por KFC no suponen nada con respecto de las
ventas totales identificadas por el Instituto Nacional de Estadística y que los
110.000 usuarios registrados en su página web representan un porcentaje muy
pequeño de la población total que compra on-line en España.
A LA AEPD SUPLICO: Tenga por presentado el presente escrito, sus copias,
los admita, y tenga por formuladas las anteriores alegaciones en Acuerdo de
Inicio de Procedimiento Sancionador PS/00140/2022, para que incorporándose
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/50
al mismo dicte resolución por la que deje sin efecto las propuestas de sanción
formuladas y archive sin mayores trámites el referido procedimiento
sancionador.
SUBSIDIARIAMENTE, A LA AEPD SUPLICO: Para el caso de considerar que
KFC ha cometido alguna de las infracciones descritas en su proposición de
sanción, sancione a KFC sólo con respecto de la relativa al incumplimiento de
las obligaciones de transparencia indicadas en el artículo 13 del RGPD, y con
apercibimiento, dado que no tiene antecedentes sancionadores ante esta
Agencia, la levedad de la infracción cometida en los propios términos de la
AEPD, la patente voluntad de KFC de mejorar su nivel de cumplimiento
normativo demostrada en los trámites de información previa que preceden al
presente procedimiento, y la no comisión de las otras infracciones indicadas en
su Acuerdo de Inicio de Expediente Sancionador?.
DÉCIMO: Con fecha 16/11/22, se envía al reclamado la propuesta de resolución en la
cual, se proponía que, por la Directora de la Agencia Española de Protección de Datos
se proceda a sancionar a la entidad, con arreglo a lo dispuesto en los artículos 63 y 64
de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP), por los siguientes motivos:
- Por la infracción del artículo 6.1 del RGPD, por la inexistencia de un mecanismo
que permita a los usuarios prestar su consentimiento al tratamiento sus datos
personales para todas y cada una de las finalidades a las que destinaran
los datos personales, cuando esto corresponda, con una sanción de 30.000 euros
(treinta mil euros).
- Por la infracción del artículo 37 del RGPD, por la falta de nombramiento de un
Delegado de Protección de Datos, con una sanción de 20.000 euros (veinte mil
euros).
- Por la infracción del artículo 13 del RGPD, por la falta de información suministrada
en la ?Política de Privacidad? sobre el tratamiento de los datos personales
obtenidos, con una sanción de 5.000 (cinco mil euros).
Junto a ello y de conformidad con el artículo 58.2 del RGPD, se proponía como
medidas correctivas a imponer al reclamado:
- Que implante, en el plazo de un mes, las medidas correctoras necesarias para
adecuar su actuación a la normativa de protección de datos personales, nombrando
un Delegado de Protección de Datos, según estipula el artículo 37 del
RGPD, así como que informe a esta Agencia en el mismo plazo sobre las medidas
adoptadas.
- Que implante, en el plazo de un mes, las medidas correctoras necesarias para
adecuar su actuación a la normativa de protección de datos personales, con la
inclusión en la ?Política de Privacidad? de la información necesaria sobre la elaboración
de perfiles de fidelización y su base jurídica, así como la identificación
de los terceros a quien se trasfieren los datos personales obtenidos, , así como
que informe a esta Agencia en el mismo plazo sobre las medidas adoptadas.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/50
Según certifica El servicio de Dirección Electrónica Habilitada Única (DEHÚ), el escrito
de propuesta de expediente puesto a disposición de la parte reclamada, el día
19/11/22 a través del servicio de notificaciones electrónicas ?NOTIFIC@?, consta en el
certificado como fecha de rechazo automático, el 30/11/22.
No consta, en esta agencia, ningún escrito de contestación a la propuesta de
resolución por parte de la entidad reclamada.
HECHOS PROBADOS.
De las actuaciones practicadas en el presente procedimiento y de la información y
documentación presentada por las partes, ha quedado acreditadas los siguientes
hechos:
Primero: Sobre la licitud del tratamiento de los datos personales obtenidos en la web
www.kfc.es:
En la página web www.kfc.es se puede introducir datos personales de los usuarios, a
través de varios procedimientos:
a) para la creación de una cuenta de usuario;
b) para Inscribirse como demandante de empleo en la cadena;
c) para realizar un pedido on-line de sus productos y
d) para recibir ofertar promocionales.
Antes de poder enviar el formulario de cualquiera de estos procedimientos con los
datos personales, es necesario haber proporcionado previamente el consentimiento
para el tratamiento de los datos, existiendo la posibilidad de acceso a la ?Política de
Privacidad? de la web, a través del enlace: ?Las condiciones de Uso?? ?Política de
Privacidad (Genérica)? ? ?viso de Privacidad?, (Exclusivo para EEE y Reino Unido).
También existe, en los cuatro formularios indicados, la posibilidad de inscribirse
voluntariamente para recibir periódicamente ofertas promocionales de la marca.
La ?Política de Privacidad de datos?, de la página web en cuestión se divide en tres
documentos:
a) Términos de uso de la web;
b) Una política de privacidad genérica para todos los países y
c) Una política de privacidad específica para los países de Espacio Económico
Europeo (EEE), Reino Unido y Suiza.
En el primer documento, ?Términos de uso? (https://www.kfc.es/nota-legal ) , se puede
leer, respecto de la política de protección de datos personales obtenidos, lo siguiente:
?(?) Protección de datos: Recogeremos, almacenaremos y trataremos su
información personal de acuerdo con nuestra Política de Privacidad. Por favor,
lea nuestra Política de Privacidad para asegurarse de que está satisfecho y
entiende su contenido antes de crear una cuenta (?)?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/50
Si se accede a la ?Política de Privacidad? de la web www.kfc.es, en el enlace,
https://www.kfc.es/privacidad, ? ?política genérica para todos los países?, se puede
leer, como introducción:
?KFC® (?KFC?, ?nosotros?, ?nuestro? o ?nos?) se compromete a proteger su
privacidad. Esta Política de privacidad de KFC (esta ?Política?) se aplica a
nuestros sitios web, experiencias en línea y aplicaciones móviles para
dispositivos móviles con Apple iOS, Windows o Android que se vinculan a la
Política (colectivamente, nuestros ?Sitios?), y describe cómo recopilamos,
utilizamos y divulgamos su información personal cuando visita nuestros Sitios o
nuestros restaurantes y quioscos en tienda, o interactúa de otra manera con
nosotros (colectivamente, nuestro ?Servicio?).
Al acceder o utilizar nuestro Servicio, usted indica que ha leído, comprendido y
acepta nuestra recopilación, almacenamiento, uso y divulgación de su
información personal según se describe en esta Política y en nuestras
Condiciones de uso, disponibles en nuestro sitio.
Para obtener más información sobre las prácticas de privacidad de otras
empresas de Yum Brands, Inc. (?Yum Brands?) (las ?Marcas?), visite: Política
de privacidad de YUM Brands. Política de privacidad de PIZZA HUT®. Política
de privacidad de TACO BELL®. Política de privacidad de THE HABIT®
Respecto a las finalidades a las que dedicarán los datos personales obtenidos, entre
otras, se indica lo siguiente:
?(?) 2. CÓMO UTILIZAMOS LA INFORMACIÓN PERSONAL:
(?) También podemos utilizar su información para personalizar su experiencia
con nosotros y promover nuestros programas de recompensas o fidelización.
También utilizamos esta información para proporcionarle el Servicio en todas
nuestras operaciones, lo que incluye apoyar su experiencia en tienda cuando
interactúa con nuestras ubicaciones propiedad de franquiciados (?).
4. CÓMO COMPARTIMOS SU INFORMACIÓN
Podemos compartir, vender o divulgar su información en los casos que se
describen a continuación. Para obtener más información sobre sus opciones en
relación con su información, consulte ?Sus opciones y control sobre su
información?.
Otras Marcas: Podemos compartir información personal con nuestra empresa
matriz Yum Brands y otras empresas de Yum Brands y nuestras filiales, que
pueden utilizar su información de forma similar a la que se describe en esta
Política. (?)
Socios promocionales: Podemos compartir información limitada con terceros
con quienes nos asociamos para proporcionar concursos y sorteos, u otras
actividades promocionales conjuntas. Normalmente, estos socios se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/50
identificarán claramente en las reglas del concurso o en los materiales de
promoción.
Socios comerciales estratégicos y de marketing seleccionados: Podemos
compartir datos limitados con nuestros socios comerciales estratégicos y de
marketing preferidos para que puedan proporcionarle información y mensajes
de marketing sobre productos o servicios que puedan interesarle. Estas partes
pueden utilizar su información de acuerdo con sus propias políticas de
privacidad.
Socios publicitarios en línea: Podemos compartir información con socios de
publicidad en línea externos o permitir que estos socios recopilen información
de usted directamente en nuestros Sitios para facilitar la publicidad en línea.
Para obtener más información, consulte nuestra Política sobre cookies y
anuncios, disponible en nuestro Sitio. (?)
Otros casos en los que podemos compartir su información personal:
Proveedores de servicios y asesores: La información personal puede
compartirse con proveedores externos y otros proveedores de servicios que
nos prestan servicios o en nuestro nombre. Esto puede incluir proveedores y
distribuidores que participan en actividades de marketing o publicidad o que
proporcionan servicios de correo postal o electrónico, servicios fiscales y
contables, cumplimiento de productos, servicios de entrega, procesamiento de
pagos, servicios de mejora de datos, prevención del fraude, alojamiento web o
servicios analíticos.
En relación con cualquiera de los puntos anteriores, podemos compartir
información con otras partes de forma agregada o anonimizada que no le
identifique razonablemente?.
Si se accede a la Política de Privacidad complementaria para países, EEE y
Reino Unido de la web www.kcf.es , en el enlace,
https://www.kfc.es/multimarcas, se puede leer, sobre, las finalidades a las que
se destinarán los datos personales obtenidos y la base legal para ese
tratamiento, lo siguiente:
?El presente Aviso de privacidad para el EEE y el Reino Unido complementa la
información que contiene nuestra Política de privacidad y se aplica únicamente
a personas físicas residentes en el Espacio Económico Europeo (?usted? y a
los Sitios y Servicios disponibles en el EEE, así como en el Reino Unido que
enlazan con este Aviso de privacidad).
A menos que se indique expresamente lo contrario, todos los términos tienen el
mismo significado que el que se define en nuestra Política de privacidad o que
se define de otro modo en el Reglamento General de Protección de Datos de la
UE 2016/679 del Parlamento Europeo y del Consejo (?RGPD?).
En el Anexo 1 se exponen detalladamente las categorías de información
personal que recopilamos sobre usted y cómo utilizamos dicha información
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/50
cuando usted utiliza el Servicio, así como la base jurídica en la que nos
basamos para tratar la información personal y los destinatarios de dicha
información.
Además, en la tabla del Anexo 2 se exponen detalladamente las categorías de
información personal que recopilamos sobre usted automáticamente y cómo
utilizamos dicha información. La tabla también enumera la base jurídica en la
que nos basamos para tratar la información personal y los destinatarios de
dicha información personal.
ANEXO 1
a).- Información de perfil como su nombre, número de teléfono, fecha de
nacimiento y foto de perfil.
a.1. Podemos utilizar esta información para configurar y autentificar su cuenta
en el Servicio: El tratamiento es necesario para cumplir un contrato con usted y
para tomar medidas antes de celebrar un contrato con usted.
a.2. Podemos utilizar esta información para comunicarnos con usted, incluido
el envío de comunicaciones relacionadas con el servicio: El tratamiento es
necesario para cumplir un contrato con usted.
a.3. Podemos utilizar esta información para enviarle comunicaciones de
marketing de conformidad con sus preferencias: Solo utilizaremos su
información personal de esta forma en la medida en que usted nos haya dado
su consentimiento para hacerlo.
a.4. Podemos utilizar esta información para tratar las consultas y quejas
realizadas por usted o sobre usted en relación con el Servicio: El tratamiento
es necesario para nuestros intereses legítimos, en concreto para administrar el
Servicio y comunicarnos con usted de forma efectiva para responder a sus
consultas o quejas.
b).- Información sobre pagos y transacciones, incluida la información sobre
pagos (como datos de su tarjeta de crédito o débito o datos de su cuenta
bancaria), y la hora, fecha y valor de las transacciones.
b.1.- Utilizamos esta información para facilitar las transacciones y
proporcionarle el Servicio: El tratamiento es necesario para cumplir un contrato
con usted.
b.2.- Utilizamos esta información para atención al cliente: El tratamiento es
necesario para cumplir un contrato con usted.
b.3.- Utilizamos esta información para detectar y prevenir el fraude: El
tratamiento es necesario para nuestros intereses legítimos, en concreto la
detección y prevención del fraude.
c).- Datos de ubicación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/50
c.1. Utilizamos tecnología GPS para determinar su ubicación actual con el fin
de proporcionarle contenido relevante y mostrar dónde ha realizado dicho
contenido: El tratamiento es necesario para nuestros intereses legítimos, en
concreto para administrar el Servicio. Solo utilizaremos su información personal
de esta forma en la medida en que usted nos haya dado su consentimiento
para hacerlo.
d).- Comentarios, chat y opiniones
d.1. Cuando se pone en contacto con nosotros directamente (p. ej., por correo
electrónico, teléfono, correo postal o mediante un formulario en línea o un chat
en línea), podemos grabar sus comentarios y opiniones: El tratamiento es
necesario para nuestros intereses legítimos, en concreto para responder a su
pregunta o comentario, para evaluar y mejorar nuestros productos y servicios y
para informar de nuestro marketing y publicidad.
e).- Información recibida de terceros, como redes sociales. Si interactúa con el
Servicio a través de una red social podemos recibir información de la red
social, como su nombre, información de perfil y cualquier otra información que
usted permita que la red social comparta con terceros. Los datos que recibimos
dependen de su configuración de privacidad en la red social.
e.1.- Podemos utilizar esta información para autentificarle y permitirle acceder
al Servicio: El tratamiento es necesario para cumplir un contrato con usted.
e.2.- Podemos utilizar esta información para adaptar cómo se le muestra (como
el idioma en el que se le presenta): El tratamiento es necesario para nuestros
intereses legítimos, en concreto para adaptar el Servicio para que sea más
relevante para nuestros usuarios.
f).- Información de uso, como el tiempo durante el que utiliza nuestros
productos, sus resultados cuando utiliza nuestros productos, cualquier
problema experimentado cuando utiliza nuestros productos y cualquier otra
información generada por los productos sobre cómo utiliza nuestros productos.
f.1.- Podemos utilizar esta información para analizar cómo funciona el Servicio,
solucionar problemas con el Servicio, mejorar el Servicio y desarrollar nuevos
productos y servicios: El tratamiento es necesario para nuestros intereses
legítimos, en concreto para mejorar nuestros productos y servicios, tratar
cualquier error en nuestros productos y servicios y desarrollar nuevos
productos y servicios.
f.2.- Podemos utilizar esta información para desarrollar nuevos productos y
características disponibles a través del Servicio o para mejorar de alguna
manera el Servicio: El tratamiento es necesario para nuestros intereses
legítimos, en concreto para desarrollar y mejorar el Servicio.
g).- Toda la información personal indicada anteriormente.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/50
g.1.- Podemos utilizar toda la información personal que recopilamos para
operar, mantener y proporcionarle las características y funcionalidad del
Servicio, comunicarnos con usted, supervisar y mejorar el Servicio y el
negocio, y desarrollar nuevos productos y servicios: El tratamiento es
necesario para nuestros intereses legítimos, en concreto para administrar y
mejorar el Servicio.
ANEXO 2
a).- Información sobre cómo accede al Servicio y lo utiliza. Por ejemplo, la
frecuencia con la que accede al Servicio, la hora a la que accede al Servicio y
durante cuánto tiempo lo utiliza, la ubicación aproximada desde la que accede
al Servicio, si accede al Servicio desde varios dispositivos y otras acciones
suyas en el Servicio.
a.1.- Podemos utilizar información sobre cómo utiliza y se conecta al Servicio
para presentarle el Servicio en su dispositivo: El tratamiento es necesario para
nuestros intereses legítimos, en concreto para adaptar el Servicio al usuario.
a.2.- Podemos utilizar esta información para determinar productos y Servicios
que puedan ser de su interés con fines de marketing: El tratamiento es
necesario para nuestros intereses legítimos, en concreto para informar sobre
nuestro marketing directo.
a.3.- Podemos utilizar esta información para supervisar y mejorar el Servicio y
el negocio, solucionar problemas e informar del desarrollo de nuevos productos
y servicios: El tratamiento es necesario para nuestros intereses legítimos, en
concreto para supervisar y solucionar problemas con el Servicio y mejorar el
Servicio en general.
b).- Archivos de registro e información sobre su dispositivo. También
recopilamos información sobre la tableta, el smartphone u otro dispositivo
electrónico que utilice para conectarse al Servicio. Esta información puede
incluir detalles sobre el tipo de dispositivo, los números de identificación únicos
del dispositivo, sistemas operativos, navegadores y aplicaciones conectados al
Servicio a través del dispositivo, su red móvil, dirección IP y número de
teléfono de su dispositivo (si tiene uno).
b.1.- Podemos utilizar información sobre cómo utiliza y se conecta al Servicio
para presentarle el Servicio en su dispositivo: El tratamiento es necesario para
nuestros intereses legítimos, en concreto para adaptar el Servicio al usuario.
b.2.- Podemos utilizar esta información para determinar productos y Servicios
que puedan ser de su interés con fines de marketing: El tratamiento es
necesario para nuestros intereses legítimos, en concreto para informar sobre
nuestro marketing directo.
b.3.- Podemos utilizar esta información para supervisar y mejorar el Servicio y
el negocio, prevenir y detectar fraudes, solucionar problemas e informar del
desarrollo de nuevos productos y servicios: El tratamiento es necesario para
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/50
nuestros intereses legítimos, en concreto para supervisar y solucionar
problemas con el Servicio y mejorar el Servicio en general.
Segundo: Sobre la ?Política de Privacidad? en la web www.kfc.es :
En la página web en cuestión, la información que se ofrece a los usuarios de la misma,
con respecto al tratamiento de sus datos personales, se ofrece a través de los
siguientes documentos colgados en la web: a) documento: ?Términos de Uso? o ?Nota
Legal?, https://www.kfc.es/nota-legal; ; b) documento: ?Política de Privacidad?,
https://www.kfc.es/privacidad, y c) documento: ?Aviso de Privacidad?,
https://www.kfc.es/multimarcas.
Todos ellos, accesibles desde los diferentes formularios (indicados en el apartado
anterior) y a través de los enlaces existentes en la parte inferior de la página principal.
La información que se ofrece en los diferentes documentos indicados anteriormente es
la siguiente:
A).- En el documento ?Términos de Uso? o ?Nota Legal? (https://www.kfc.es/nota-legal)
podemos encontrar la siguiente información, con respecto al tratamiento de los datos
personales obtenidos:
REGISTRO: ?(?) Protección de datos: Recogeremos, almacenaremos y
trataremos su información personal de acuerdo con nuestra Política de
Privacidad. Por favor, lea nuestra Política de Privacidad para asegurarse de
que está satisfecho y entiende su contenido antes de crear una cuenta.
B).- En el documento ?Política de Privacidad? (https://www.kfc.es/privacidad)
podemos encontrar la siguiente información, con respecto al tratamiento de los datos
personales obtenidos: 1. qué tipo de información recopilan 2. cómo utilizan la
información personal que recopilan 3. qué información recopilan automáticamente 4.
cómo comparten la información recopilada. 5. Sobre las opciones y el control de la
información recopilada.6. cómo almacenan y protegemos la información 7.
revelaciones jurisdiccionales 8. privacidad de los niños 9. enlaces a otros sitios web y
servicios 10. cómo ponerse en contacto con el responsable del tratamiento de datos.
C).- En el documento ?Aviso de Privacidad? (https://www.kfc.es/multimarcas) ,
podemos encontrar, entre otras, la siguiente información, con respecto al tratamiento
de los datos personales obtenidos:
Sobre el responsable del tratamiento se indica: KFC Restaurants Spain, S.L.
con NIF B86281599 y domicilio en Calle Serrano Galvache (Pq. Empresarial
Pq. Norte), 56 - Edif. Olmo Quinta Planta, Madrid, Madrid. Correo electrónico:
clientes@kfc.es. Teléfono: 91 904 18 81
Sobre la base jurídica para el tratamiento en el EEE y el Reino Unido se indica:
En la tabla del Anexo 1 se exponen las categorías de información personal que
recopilan, así como la base jurídica y los destinatarios de dicha información
personal.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/50
En la tabla del Anexo 2 se exponen las categorías de información personal que
recopilan de forma automática. La tabla también enumera la base jurídica en la
que se basan para tratar la información personal y los destinatarios de dicha
información personal.
Se informa sobre el almacenamiento y transferencia de datos.
Se informa sobre los derechos individuales de los residentes en el EEE: Derecho a
objetar. Derecho de acceso. Derecho de rectificación. Derecho de supresión. También
tiene derecho a presentar una reclamación ante su autoridad de protección de datos.
Sobre la conservación de los datos personales se informa: En el caso de las personas
que residen en el EEE conservamos los datos personales durante el tiempo máximo
necesario para cumplir con los fines para los que recopilamos los datos, como la
entrega de su pedido, el mantenimiento de nuestro servicio, el cumplimiento de
nuestras obligaciones legales y la resolución de disputas. Conservaremos sus datos
personales de acuerdo con los períodos de prescripción, legales y aplicables, de
acuerdo con las normas fiscales y contables de cada país del EEE. A la finalización de
dichos plazos, o con anterioridad a su solicitud, los datos serán eliminados o
anonimizados para que ya permitan identificarle, a menos que estemos legalmente
autorizados u obligados a conservar los datos personales por más tiempo.
FUNDAMENTOS DE DERECHO
ICompetencia.
De acuerdo con los poderes que el artículo 58.2 del RGPD, otorga a cada autoridad de
control y según lo establecido en los artículos 47 y 48.1 de la LOPDGDD, es
competente para resolver este procedimiento, la Directora de la Agencia Española de
Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos?.
II.-
a).- Sobre la licitud del tratamiento de los datos personales obtenidos en la web
www.kfc.es :
Se ha podido comprobar que en la página web www.kfc.es se puede introducir datos
personales de los usuarios de esta, a través de varios procedimientos: a) para la
creación de una cuenta de usuario; b) para Inscribirse como demandante de empleo
en la cadena; c) para realizar un pedido on-line de sus productos y d) para recibir
ofertar promocionales.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/50
Antes de poder enviar el formulario de cualquiera de estos procedimientos con los
datos personales es necesario haber proporcionado previamente el consentimiento
para el tratamiento de los datos, existiendo la posibilidad de acceso a la ?Política de
Privacidad? de la web, a través del enlace: ?Las condiciones de Uso?? ?Política de
Privacidad (Genérica)? ? ?viso de Privacidad?, (Exclusivo para EEE y Reino Unido).
También existe, en los cuatro formularios indicados, la posibilidad de inscribirse
voluntariamente para recibir periódicamente ofertas promocionales de la marca.
Según se indica por parte de la entidad, la ?Política de Privacidad de datos?, se divide
en tres documentos: a) Términos de uso de la web; b) Una política de privacidad
genérica para todos los países y c) Una política de privacidad específica para los
países de Espacio Económico Europeo (EEE), Reino Unido y Suiza.
En el primer documento, ?Términos de uso? (https://www.kfc.es/nota-legal) , se puede
leer, respecto de la política de protección de datos personales obtenidos, lo siguiente:
?(?) Protección de datos: Recogeremos, almacenaremos y trataremos su
información personal de acuerdo con nuestra Política de Privacidad. Por favor,
lea nuestra Política de Privacidad para asegurarse de que está satisfecho y
entiende su contenido antes de crear una cuenta (?)?.
Si se accede a la ?Política de Privacidad? de la web www.kfc.es,
(https://www.kfc.es/privacidad), política genérica para todos los países, se puede leer,
como introducción:
?KFC® (?KFC?, ?nosotros?, ?nuestro? o ?nos?) se compromete a proteger su
privacidad. Esta Política de privacidad de KFC (esta ?Política?) se aplica a
nuestros sitios web, experiencias en línea y aplicaciones móviles para
dispositivos móviles con Apple iOS, Windows o Android que se vinculan a la
Política (colectivamente, nuestros ?Sitios?), y describe cómo recopilamos,
utilizamos y divulgamos su información personal cuando visita nuestros Sitios o
nuestros restaurantes y quioscos en tienda, o interactúa de otra manera con
nosotros (colectivamente, nuestro ?Servicio?).
Al acceder o utilizar nuestro Servicio, usted indica que ha leído, comprendido y
acepta nuestra recopilación, almacenamiento, uso y divulgación de su
información personal según se describe en esta Política y en nuestras
Condiciones de uso, disponibles en nuestro sitio.
Para obtener más información sobre las prácticas de privacidad de otras
empresas de Yum Brands, Inc. (?Yum! Brands?) (las ?Marcas?), visite: Política
de privacidad de YUM Brands. Política de privacidad de PIZZA HUT®. Política
de privacidad de TACO BELL®. Política de privacidad de THE HABIT®
Pues bien, respecto a las finalidades a las que dedicarán los datos personales
obtenidos, entre otras, se indica lo siguiente: ?(?)
2. CÓMO UTILIZAMOS LA INFORMACIÓN PERSONAL:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/50
(?) También podemos utilizar su información para personalizar su experiencia
con nosotros y promover nuestros programas de recompensas o fidelización.
También utilizamos esta información para proporcionarle el Servicio en todas
nuestras operaciones, lo que incluye apoyar su experiencia en tienda cuando
interactúa con nuestras ubicaciones propiedad de franquiciados (?).
4. CÓMO COMPARTIMOS SU INFORMACIÓN
Podemos compartir, vender o divulgar su información en los casos que se
describen a continuación. Para obtener más información sobre sus opciones en
relación con su información, consulte ?Sus opciones y control sobre su
información?.
Otras Marcas: Podemos compartir información personal con nuestra empresa
matriz Yum Brands y otras empresas de Yum Brands y nuestras filiales, que
pueden utilizar su información de forma similar a la que se describe en esta
Política. (?)
Socios promocionales: Podemos compartir información limitada con terceros
con quienes nos asociamos para proporcionar concursos y sorteos, u otras
actividades promocionales conjuntas. Normalmente, estos socios se
identificarán claramente en las reglas del concurso o en los materiales de
promoción.
Socios comerciales estratégicos y de marketing seleccionados: Podemos
compartir datos limitados con nuestros socios comerciales estratégicos y de
marketing preferidos para que puedan proporcionarle información y mensajes
de marketing sobre productos o servicios que puedan interesarle. Estas partes
pueden utilizar su información de acuerdo con sus propias políticas de
privacidad.
Socios publicitarios en línea: Podemos compartir información con socios de
publicidad en línea externos o permitir que estos socios recopilen información
de usted directamente en nuestros Sitios para facilitar la publicidad en línea.
Para obtener más información, consulte nuestra Política sobre cookies y
anuncios, disponible en nuestro Sitio. (?)
Otros casos en los que podemos compartir su información personal:
Proveedores de servicios y asesores: La información personal puede
compartirse con proveedores externos y otros proveedores de servicios que
nos prestan servicios o en nuestro nombre. Esto puede incluir proveedores y
distribuidores que participan en actividades de marketing o publicidad o que
proporcionan servicios de correo postal o electrónico, servicios fiscales y
contables, cumplimiento de productos, servicios de entrega, procesamiento de
pagos, servicios de mejora de datos, prevención del fraude, alojamiento web o
servicios analíticos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/50
En relación con cualquiera de los puntos anteriores, podemos compartir
información con otras partes de forma agregada o anonimizada que no le
identifique razonablemente.
Si se accede a la Política de Privacidad complementaria para países, EEE y
Reino Unido de la web www.kcf.es, ( https://www.kfc.es/multimarcas ), se
puede leer, sobre, las finalidades a las que se destinarán los datos personales
obtenidos y la base legal para ese tratamiento, lo siguiente:
?El presente Aviso de privacidad para el EEE y el Reino Unido complementa la
información que contiene nuestra Política de privacidad y se aplica únicamente
a personas físicas residentes en el Espacio Económico Europeo (?usted? y a
los Sitios y Servicios disponibles en el EEE, así como en el Reino Unido que
enlazan con este Aviso de privacidad).
A menos que se indique expresamente lo contrario, todos los términos tienen el
mismo significado que el que se define en nuestra Política de privacidad o que
se define de otro modo en el Reglamento General de Protección de Datos de la
UE 2016/679 del Parlamento Europeo y del Consejo (?RGPD?).
En la tabla del Anexo 1 se exponen detalladamente las categorías de
información personal que recopilamos sobre usted y cómo utilizamos dicha
información cuando usted utiliza el Servicio, así como la base jurídica en la que
nos basamos para tratar la información personal y los destinatarios de dicha
información.
Además, en la tabla del Anexo 2 se exponen detalladamente las categorías de
información personal que recopilamos sobre usted automáticamente y cómo
utilizamos dicha información. La tabla también enumera la base jurídica en la
que nos basamos para tratar la información personal y los destinatarios de
dicha información personal.
ANEXO 1
a).- Información de perfil como su nombre, número de teléfono, fecha de
nacimiento y foto de perfil.
a.1. Podemos utilizar esta información para configurar y autentificar su cuenta
en el Servicio: El tratamiento es necesario para cumplir un contrato con usted y
para tomar medidas antes de celebrar un contrato con usted.
a.2. Podemos utilizar esta información para comunicarnos con usted, incluido
el envío de comunicaciones relacionadas con el servicio: El tratamiento es
necesario para cumplir un contrato con usted.
a.3. Podemos utilizar esta información para enviarle comunicaciones de
marketing de conformidad con sus preferencias: Solo utilizaremos su
información personal de esta forma en la medida en que usted nos haya dado
su consentimiento para hacerlo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/50
a.4. Podemos utilizar esta información para tratar las consultas y quejas
realizadas por usted o sobre usted en relación con el Servicio: El tratamiento
es necesario para nuestros intereses legítimos, en concreto para administrar el
Servicio y comunicarnos con usted de forma efectiva para responder a sus
consultas o quejas.
b).- Información sobre pagos y transacciones, incluida la información sobre
pagos (como datos de su tarjeta de crédito o débito o datos de su cuenta
bancaria), y la hora, fecha y valor de las transacciones.
b.1.- Utilizamos esta información para facilitar las transacciones y
proporcionarle el Servicio: El tratamiento es necesario para cumplir un contrato
con usted.
b.2.- Utilizamos esta información para atención al cliente: El tratamiento es
necesario para cumplir un contrato con usted.
b.3.- Utilizamos esta información para detectar y prevenir el fraude: El
tratamiento es necesario para nuestros intereses legítimos, en concreto la
detección y prevención del fraude.
c).- Datos de ubicación
c.1. Utilizamos tecnología GPS para determinar su ubicación actual con el fin
de proporcionarle contenido relevante y mostrar dónde ha realizado dicho
contenido: El tratamiento es necesario para nuestros intereses legítimos, en
concreto para administrar el Servicio. Solo utilizaremos su información personal
de esta forma en la medida en que usted nos haya dado su consentimiento
para hacerlo.
d).- Comentarios, chat y opiniones
d.1. Cuando se pone en contacto con nosotros directamente (p. ej., por correo
electrónico, teléfono, correo postal o mediante un formulario en línea o un chat
en línea), podemos grabar sus comentarios y opiniones: El tratamiento es
necesario para nuestros intereses legítimos, en concreto para responder a su
pregunta o comentario, para evaluar y mejorar nuestros productos y servicios y
para informar de nuestro marketing y publicidad.
e).- Información recibida de terceros, como redes sociales. Si interactúa con el
Servicio a través de una red social podemos recibir información de la red
social, como su nombre, información de perfil y cualquier otra información que
usted permita que la red social comparta con terceros. Los datos que recibimos
dependen de su configuración de privacidad en la red social.
e.1.- Podemos utilizar esta información para autentificarle y permitirle acceder
al Servicio: El tratamiento es necesario para cumplir un contrato con usted.
e.2.- Podemos utilizar esta información para adaptar cómo se le muestra (como
el idioma en el que se le presenta): El tratamiento es necesario para nuestros
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/50
intereses legítimos, en concreto para adaptar el Servicio para que sea más
relevante para nuestros usuarios.
f).- Información de uso, como el tiempo durante el que utiliza nuestros
productos, sus resultados cuando utiliza nuestros productos, cualquier
problema experimentado cuando utiliza nuestros productos y cualquier otra
información generada por los productos sobre cómo utiliza nuestros productos.
f.1.- Podemos utilizar esta información para analizar cómo funciona el Servicio,
solucionar problemas con el Servicio, mejorar el Servicio y desarrollar nuevos
productos y servicios: El tratamiento es necesario para nuestros intereses
legítimos, en concreto para mejorar nuestros productos y servicios, tratar
cualquier error en nuestros productos y servicios y desarrollar nuevos
productos y servicios.
f.2.- Podemos utilizar esta información para desarrollar nuevos productos y
características disponibles a través del Servicio o para mejorar de alguna
manera el Servicio: El tratamiento es necesario para nuestros intereses
legítimos, en concreto para desarrollar y mejorar el Servicio.
g).- Toda la información personal indicada anteriormente.
g.1.- Podemos utilizar toda la información personal que recopilamos para
operar, mantener y proporcionarle las características y funcionalidad del
Servicio, comunicarnos con usted, supervisar y mejorar el Servicio y el
negocio, y desarrollar nuevos productos y servicios: El tratamiento es
necesario para nuestros intereses legítimos, en concreto para administrar y
mejorar el Servicio.
ANEXO 2
a).- Información sobre cómo accede al Servicio y lo utiliza. Por ejemplo, la
frecuencia con la que accede al Servicio, la hora a la que accede al Servicio y
durante cuánto tiempo lo utiliza, la ubicación aproximada desde la que accede
al Servicio, si accede al Servicio desde varios dispositivos y otras acciones
suyas en el Servicio.
a.1.- Podemos utilizar información sobre cómo utiliza y se conecta al Servicio
para presentarle el Servicio en su dispositivo: El tratamiento es necesario para
nuestros intereses legítimos, en concreto para adaptar el Servicio al usuario.
a.2.- Podemos utilizar esta información para determinar productos y Servicios
que puedan ser de su interés con fines de marketing: El tratamiento es
necesario para nuestros intereses legítimos, en concreto para informar sobre
nuestro marketing directo.
a.3.- Podemos utilizar esta información para supervisar y mejorar el Servicio y
el negocio, solucionar problemas e informar del desarrollo de nuevos productos
y servicios: El tratamiento es necesario para nuestros intereses legítimos, en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/50
concreto para supervisar y solucionar problemas con el Servicio y mejorar el
Servicio en general.
b).- Archivos de registro e información sobre su dispositivo. También
recopilamos información sobre la tableta, el smartphone u otro dispositivo
electrónico que utilice para conectarse al Servicio. Esta información puede
incluir detalles sobre el tipo de dispositivo, los números de identificación únicos
del dispositivo, sistemas operativos, navegadores y aplicaciones conectados al
Servicio a través del dispositivo, su red móvil, dirección IP y número de
teléfono de su dispositivo (si tiene uno).
b.1.- Podemos utilizar información sobre cómo utiliza y se conecta al Servicio
para presentarle el Servicio en su dispositivo: El tratamiento es necesario para
nuestros intereses legítimos, en concreto para adaptar el Servicio al usuario.
b.2.- Podemos utilizar esta información para determinar productos y Servicios
que puedan ser de su interés con fines de marketing: El tratamiento es
necesario para nuestros intereses legítimos, en concreto para informar sobre
nuestro marketing directo.
b.3.- Podemos utilizar esta información para supervisar y mejorar el Servicio y
el negocio, prevenir y detectar fraudes, solucionar problemas e informar del
desarrollo de nuevos productos y servicios: El tratamiento es necesario para
nuestros intereses legítimos, en concreto para supervisar y solucionar
problemas con el Servicio y mejorar el Servicio en general
En el presente caso, dado que en la ?Política de Privacidad? de la página web www.kfc.es
se describen unas finalidades del tratamiento de datos personales y se menciona
la base de legitimación de cada una de ellas, el tratamiento de los datos para estas finalidades
no sería un tratamiento ulterior.
Por otra parte, se ha de tener en cuenta que, la entidad reclamada, en sus alegaciones
manifiesta lo siguiente: ?Las finalidades indicadas en la política de privacidad sobre las
que se propone sanción describen situaciones potenciales y no implican que sean
efectivamente llevadas a cabo, o bien son llevadas a cabo de manera totalmente lícita
como se expondrá; y lo más importante, tales ulteriores tratamientos por los que se
propone sanción no están recogidos en el Registro de Actividades de Tratamiento
aportado ya a la AEPD??
Por tanto, en el presente caso, con arreglo a las evidencias que se disponen en este
momento, se considera que la descripción de las finalidades del tratamiento de datos
personales junto con la base de legitimación de cada una de ellas, no se corresponde
con un tratamiento ulterior por lo que no se contradice con lo estipulado en el artículo
6.1 del RGPD, sin implicar una valoración sobre la adecuación de la base de legitimación
que recoge la política de privacidad para cada uno de los distintos tratamientos al
no constituir objeto del presente procedimiento.
III.-
a.- Sobre la ?Política de Privacidad? en la web www.kfc.es :
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/50
Según se ha podido comprobar, en la página web en cuestión, la información que se
ofrece a los usuarios de la misma, con respecto al tratamiento de sus datos
personales, se ofrece a través de los siguientes documentos colgados en la web: a)
documento: ?Términos de Uso? o ?Nota Legal?, https://www.kfc.es/nota-legal; ; b)
documento: ?Política de Privacidad?, https://www.kfc.es/privacidad, y c) documento:
?Aviso de Privacidad?, https://www.kfc.es/multimarcas. Todos ellos, accesibles desde
los diferentes formularios (indicados en el apartado anterior) y a través de los enlaces
existentes en la parte inferior de la página principal.
La información que se ofrece en los diferentes documentos indicados anteriormente es
la siguiente:
A).- En el documento ?Términos de Uso? o ?Nota Legal? (https://www.kfc.es/nota-legal)
podemos encontrar la siguiente información, con respecto al tratamiento de los datos
personales obtenidos:
REGISTRO: ?(?) Protección de datos: Recogeremos, almacenaremos y
trataremos su información personal de acuerdo con nuestra Política de
Privacidad. Por favor, lea nuestra Política de Privacidad para asegurarse de
que está satisfecho y entiende su contenido antes de crear una cuenta.
B).- En el documento ?Política de Privacidad? (https://www.kfc.es/privacidad)
podemos encontrar la siguiente información, con respecto al tratamiento de los datos
personales obtenidos: 1. qué tipo de información recopilan 2. cómo utilizan la
información personal que recopilan 3. qué información recopilan automáticamente 4.
cómo comparten la información recopilada. 5. Sobre las opciones y el control de la
información recopilada.6. cómo almacenan y protegemos la información 7.
revelaciones jurisdiccionales 8. privacidad de los niños 9. enlaces a otros sitios web y
servicios 10. cómo ponerse en contacto con el responsable del tratamiento de datos.
C).- En el documento ?Aviso de Privacidad? (https://www.kfc.es/multimarcas) ,
podemos encontrar, entre otras, la siguiente información, con respecto al tratamiento
de los datos personales obtenidos:
Sobre el responsable del tratamiento se indica:
KFC Restaurants Spain, S.L. con NIF B86281599 y domicilio en Calle Serrano
Galvache (Pq. Empresarial Pq. Norte), 56 - Edif. Olmo Quinta Planta, Madrid,
Madrid. Correo electrónico: clientes@kfc.es. Teléfono: 91 904 18 81
Sobre la base jurídica para el tratamiento en el EEE y el Reino Unido se indica:
En la tabla del Anexo 1 se exponen las categorías de información personal que
recopilan, así como la base jurídica y los destinatarios de dicha información
personal. En la tabla del Anexo 2 se exponen las categorías de información
personal que recopilan de forma automática. La tabla también enumera la base
jurídica en la que se basan para tratar la información personal y los
destinatarios de dicha información personal.
Se informa sobre el almacenamiento y transferencia de datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/50
Se informa sobre los derechos individuales de los residentes en el EEE: Derecho a
objetar. Derecho de acceso. Derecho de rectificación. Derecho de supresión. También
tiene derecho a presentar una reclamación ante su autoridad de protección de datos.
Sobre la conservación de los datos personales se informa: En el caso de las personas
que residen en el EEE conservamos los datos personales durante el tiempo máximo
necesario para cumplir con los fines para los que recopilamos los datos, como la
entrega de su pedido, el mantenimiento de nuestro servicio, el cumplimiento de
nuestras obligaciones legales y la resolución de disputas. Conservaremos sus datos
personales de acuerdo con los períodos de prescripción, legales y aplicables, de
acuerdo con las normas fiscales y contables de cada país del EEE. A la finalización de
dichos plazos, o con anterioridad a su solicitud, los datos serán eliminados o
anonimizados para que ya permitan identificarle, a menos que estemos legalmente
autorizados u obligados a conservar los datos personales por más tiempo.
En el presente caso, debemos tener en cuenta además que, en la política de
privacidad de la página web www.kfc.es no se ofrece información precisa sobre los
fines del tratamiento de datos, al utilizar expresiones indefinidas como ?podemos
utilizar??, sin que el reclamado haya acreditado el motivo por el cual se hizo
necesario el empleo de las mismas, tal y como requieren las Directrices sobre la
transparencia en virtud del Reglamento (UE) 2016/679 del GT29, revisadas por última
vez y adoptadas el 11 de abril de 2018, y donde se estable lo siguiente:
?13. Debe evitarse el uso de calificativos del tipo «puede», «podría»,
«algunos», «frecuentemente» y «posible». Cuando los responsables del
tratamiento opten por utilizar un lenguaje indefinido, deben poder demostrar,
con arreglo al principio de responsabilidad proactiva, por qué no se pudo evitar
emplear este lenguaje y por qué no socava la lealtad del tratamiento. (?)?
III.-
b).-Tipificación y calificación de la infracción
Sobre la información que el responsable del tratamiento de los datos deberá facilitar al
interesado cuando se obtengan de éste,
El considerando 60) del RGPD indica:
?Los principios de tratamiento leal y transparente exigen que se informe al
interesado de la existencia de la operación de tratamiento y sus fines. El
responsable del tratamiento debe facilitar al interesado cuanta información
complementaria sea necesaria para garantizar un tratamiento leal y
transparente, habida cuenta de las circunstancias y del contexto específicos en
que se traten los datos personales. Se debe además informar al interesado de
la existencia de la elaboración de perfiles y de las consecuencias de dicha
elaboración. Si los datos personales se obtienen de los interesados, también
se les debe informar de si están obligados a facilitarlos y de las consecuencias
en caso de que no lo hicieran. Dicha información puede transmitirse en
combinación con unos iconos normalizados que ofrezcan, de forma fácilmente
visible, inteligible y claramente legible, una adecuada visión de conjunto del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/50
tratamiento previsto. Los iconos que se presentan en formato electrónico
deben ser legibles mecánicamente?.
El considerando 61) del RGPD indica lo siguiente:
?Se debe facilitar a los interesados la información sobre el tratamiento de sus
datos personales en el momento en que se obtengan de ellos o, si se obtienen
de otra fuente, en un plazo razonable, dependiendo de las circunstancias del
caso. Si los datos personales pueden ser comunicados legítimamente a otro
destinatario, se debe informar al interesado en el momento en que se
comunican al destinatario por primera vez. El responsable del tratamiento que
proyecte tratar los datos para un fin que no sea aquel para el que se recogieron
debe proporcionar al interesado, antes de dicho tratamiento ulterior,
información sobre ese otro fin y otra información necesaria. Cuando el origen
de los datos personales no pueda facilitarse al interesado por haberse utilizado
varias fuentes, debe facilitarse información general.
Por su parte, el artículo 13 del RGPD, detalla la información que se debe facilitar al
interesado cuando sus datos personales son obtenidos directamente de él,
estableciéndose lo siguiente:
?1.Cuando se obtengan de un interesado datos personales relativos a él, el
responsable del tratamiento, en el momento en que estos se obtengan, le
facilitará: a) la identidad y los datos de contacto del responsable y, en su caso,
de su representante; b) los datos de contacto del delegado de protección de
datos, en su caso; c) los fines del tratamiento a que se destinan los datos
personales y la base jurídica del tratamiento; d) cuando el tratamiento se base
en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de
un tercero; e) los destinatarios o las categorías de destinatarios de los datos
personales, en su caso; f) en su caso, la intención del responsable de transferir
datos personales a un tercer país u organización internacional y la existencia o
ausencia de una decisión de adecuación de la Comisión, o, en el caso de las
transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1,
párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los
medios para obtener una copia de estas o al hecho de que se hayan prestado.
2. Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los
datos personales, la siguiente información necesaria para garantizar un
tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no
sea posible, los criterios utilizados para determinar este plazo; b) la existencia
del derecho a solicitar al responsable del tratamiento el acceso a los datos
personales relativos al interesado, y su rectificación o supresión, o la limitación
de su tratamiento, o a oponerse al tratamiento, así como el derecho a la
portabilidad de los datos; c) cuando el tratamiento esté basado en el artículo 6,
apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del
derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a
la licitud del tratamiento basado en el consentimiento previo a su retirada; d) el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/50
derecho a presentar una reclamación ante una autoridad de control; e) si la
comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a
facilitar los datos personales y está informado de las posibles consecuencias
de que no facilitar tales datos; f) la existencia de decisiones automatizas,
incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y
4, y, al menos en tales casos, información significativa sobre la lógica aplicada,
así como la importancia y las consecuencias previstas de dicho tratamiento
para el interesado?.
Pues bien, según el apartado c) del artículo 13.1 RGPD, se debe informar a los
usuarios de los fines del tratamiento a que se destinarán sus datos personales y la
base jurídica aplicable para ello (art. 6 RGPD), evitando prácticas tales como incluir
finalidades demasiado genéricas o inespecíficas, que puedan conducir a tratamientos
ulteriores que excedan las expectativas razonables del interesado.
Si accedemos a la ?Política de Privacidad? de la web, www.kfc.es
(https://www.kfc.es/privacidad) podemos leer, respecto a las finalidades a las que se
destinaran los datos personales obtenidos, entre otras, lo siguiente:
?(?) personalizar su experiencia con nosotros y promover nuestros programas
de recompensas o fidelización (?)?,
?(?) compartir, vender o divulgar su información con: Otras Marcas: Podemos
compartir información personal con nuestra empresa matriz: Yum Brands y
otras empresas de Yum Brands y nuestras filiales, que pueden utilizar su
información de forma similar a la que se describe en esta Política.
O, por ejemplo, cuando la entidad manifiesta que podrá compartir los datos personales
obtenidos con sus proveedores externos. Indicado esto, de una manera genérica y
abstracta, sin identificar los proveedores ni la base jurídica en que se apoya:
?(?) para compartir con proveedores externos (?).
En base a los fundamentos de derecho expuestos anteriormente, los hechos indicados
en el apartado anterior son constitutivos de una infracción del artículo 13 RGPD.
III.-
c.- Sanción impuesta
Esta infracción puede ser sancionada con multa de 20.000.000 ? como máximo o,
tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía, de acuerdo con el artículo 83.5.b) del RGPD.
En este sentido, el artículo 74.a) de la LOPDGDD, considera leve, a efectos de
prescripción, ?El incumplimiento del principio de transparencia de la información o el
derecho de información del afectado por no facilitar toda la información exigida por los
artículos 13 y 14 del Reglamento (UE) 2016/679?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/50
El balance de las circunstancias contempladas, con respecto a la infracción cometida,
al vulnerar lo establecido en su artículo 13 del RGPD, permite fijar una sanción inicial
de 5.000 euros (cinco mil euros).
III.-
d.- Medidas
De conformidad con el artículo 58.2 del RGPD, la medida correctiva a imponer al titular
de la página web consiste en que tome las medidas necesarias para adecuar la página
web de su titularidad (www.kfc.es ) a la normativa vigente, adecuándola a lo estipulado
en el artículo 13 del RGPD.
Se advierte que no atender a los requerimientos de este organismo puede ser
considerado como una infracción administrativa conforme a lo dispuesto en el RGPD,
tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la
apertura de un ulterior procedimiento administrativo sancionador.
IV.-
a.- Sobre la inexistencia de Delegado de Protección de Datos.
Cuando esta Agencia solicitó información a la entidad KFC sobre los análisis
realizados para evaluar la necesidad de nombrar o no, un DPD, la entidad contesto lo
siguiente:
?(?) A este respecto, desde KFC se ha entendido que no existe la obligación
de designación del DPD, debido a que las actividades del tratamiento
realizadas no se circunscriben a las del art 37 RGPD ni la entidad se encuentra
entre las obligadas en el art 34 LOPDGDD.
Del mismo modo, la gestión de cumplimiento en materia de protección de datos
viene siendo ejercida por personal interno especialista en protección de datos,
en particular, desde UK, a través de B.B.B., Global Privacy Lead CounselHead
y la consultoría de expertos externos en cada uno de los países desde los que
se opera.
No obstante, y como ya se indicó anteriormente a esta Agencia, internamente
se procederá a evaluar periódicamente la necesidad designación del mismo,
en función de los posibles cambios operacionales así como el inicio de nuevas
ramas de negocio que puedan suponer la incorporación de nuevas actividades
del tratamiento, el con el objeto de ofrecer mayores garantías de cumplimiento
a nuestros clientes y usuarios en cuanto a las actividades y procedimientos en
el tratamiento de datos personales, en particular, si se iniciasen actividades del
tratamiento que se comprendieran la elaboración de perfiles (?)?.
IV.-
b).-Tipificación y calificación de la infracción
Respecto a la necesidad o no de nombrar un Delegado de Protección de Datos, el
artículo 37 RGPD, determina lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/50
?1. El responsable y el encargado del tratamiento designarán un delegado de
protección de datos siempre que: a) el tratamiento lo lleve a cabo una
autoridad u organismo público, excepto los tribunales que actúen en ejercicio
de su función judicial; b) las actividades principales del responsable o del
encargado consistan en operaciones de tratamiento que, debido a su
naturaleza, alcance y/o fines, requieran una observación habitual y sistemática
de interesados a gran escala, c) las actividades principales del responsable o
del encargado consistan en el tratamiento a gran escala de categorías
especiales de datos personales con arreglo al artículo 9 y de datos relativos a
condenas e infracciones penales a que se refiere el artículo 10?.
En este caso que nos ocupa, el supuesto de aplicación sería el 37.1.b) del RGPD,
donde se deben examinar tres elementos: ?actividad principal?, la ?observación
habitual y sistemática? y ?gran escala?.
Es cierto que se trata de conceptos jurídicos indeterminados, más esto se han ido
perfilando a través de las diferentes opiniones y dictámenes del Grupo de Trabajo del
Artículo 29:
Sobre lo que es una actividad principal el WP-243 (Directrices sobre los delegados de
protección de datos -DPD) establece que:
?El artículo 37, apartado 1, letras b) y c), del RGPD se refiere a las «actividades
principales del responsable o del encargado» y así tenemos como, el
considerando 97 RGPD, especifica que las actividades principales de un
responsable están relacionadas con «sus actividades primarias y no están
relacionadas con el tratamiento de datos personales como actividades
auxiliares».
Las ?actividades principales? pueden considerarse las operaciones clave necesarias
para lograr los objetivos del responsable o del encargado del tratamiento. No obstante,
las ?actividades principales? no deben interpretarse como excluyentes cuando el
tratamiento de datos sea una parte indisociable de la actividad del responsable o
encargado del tratamiento.
Por ejemplo, la actividad principal de un hospital es prestar atención sanitaria. Sin
embargo, un hospital no podría prestar atención sanitaria de manera segura y eficaz
sin tratar datos relativos a la salud, como las historias clínicas de los pacientes. Por
tanto, el tratamiento de dichos datos debe considerarse una de las actividades
principales de cualquier hospital y los hospitales deben, en consecuencia, designar un
DPD.
Otro ejemplo sería el de una empresa de seguridad privada que lleva a cabo la
vigilancia de una serie de centros comerciales privados y de espacios públicos. La
vigilancia es la actividad principal, que a su vez está ligada de manera indisociable al
tratamiento de datos personales. Por tanto, esta empresa debe también designar un
DPD.
Por otra parte, todas las organizaciones llevan a cabo determinadas actividades, por
ejemplo, pagar a sus empleados o realizar actividades ordinarias de apoyo de TI.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/50
Dichas actividades son ejemplo de funciones de apoyo necesarias para la actividad o
el negocio principales de la organización. Aunque estas actividades son necesarias o
esenciales, normalmente se consideran funciones auxiliares y no la actividad
principal?.
La segunda cuestión es la observancia habitual y sistemática, que el WP 243
determina que ?no se limita al entorno en línea y el seguimiento en línea debe
considerarse solo un ejemplo de observación del comportamiento de los interesados.
El Grupo de Trabajo del artículo 29 interpreta ?habitual? con uno o más de los
siguientes significados: a). continuado o que se produce a intervalos concretos durante
un periodo concreto; b). recurrente o repetido en momentos prefijados o que tiene
lugar de manera constante o periódica.
El Grupo de Trabajo interpreta ?sistemático? con uno o más de los siguientes
significados: a). que se produce de acuerdo con un sistema; b). preestablecido,
organizado o metódico; c). que tiene lugar como parte de un plan general de recogida
de datos; d). llevado a cabo como parte de una estrategia.
Como ejemplo cita las actividades de mercadotecnia basadas en datos, llevar a cabo
un seguimiento de la ubicación, por ejemplo, mediante aplicaciones móviles,
programas de fidelidad o publicidad comportamental.
Así, en el supuesto examinado cumple con el criterio de habitual y conforme a un plan
de recogida de datos para obtener datos de los clientes e incrementar su área de
negocio. Sólo hay que echar un vistazo a su política de privacidad, en la que muestran
que recogen datos de todo tipo, incluyendo la dirección IP (un punto clave de
localización), el historial de navegación y las preferencias del usuario, datos derivados
de las cookies entre las que existen algunas de seguimiento, datos de geolocalización
o datos de facturación, entre otros.
Y los recogen de manera habitual, pues los precisan para prestar sus servicios y para
mejorar el rendimiento de su negocio.
Entre otras cosas indican en la política de privacidad que la utilizan los datos con fines
estadísticos y de servicios.
En tercer lugar, habrá que determinar si es a gran escala, sobre lo que el WP 243 fija
ciertos criterios ?recomienda que se tengan en cuenta los siguientes factores, en
particular, a la hora de determinar si el tratamiento se realiza a gran escala: a). el
número de interesados afectados, bien como cifra concreta o como proporción de la
población correspondiente; b). el volumen de datos o la variedad de elementos de
datos que son objeto de tratamiento; c) la duración, o permanencia, de la actividad de
tratamiento de datos; d). el alcance geográfico de la actividad de tratamiento.
E indica como algún ejemplo a gran escala ?el tratamiento de datos de geolocalización
en tiempo real de clientes de una cadena internacional de comida rápida con fines
estadísticos por parte de un responsable del tratamiento especializado en la prestación
de estos servicios; · el tratamiento de datos de clientes en el desarrollo normal de la
actividad de una compañía de seguros o de un banco?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/50
El CEPD no determina en ningún caso qué es la gran escala, sino que se ciñe a los
criterios referenciados. Así lo pone de manifiesto en otros documentos: ?The GDPR
does not precisely define what constitutes large-scale. In the WP29 guidelines on Data
Protection Officer (WP243) and on DPIA (WP248), both endorsed by Board, it has
recommended to take in account several specific factors when determining whether a
processing is carried out on a large scale. The Board is of the opinion that those
factors are sufficient to assess whether the processing of personal data is undertaken
on a large scale. Therefore, the Board requests the Supervisory Authority of the Czech
Republic to amend its list accordingly, by deleting the explicit figures in its list, and
making reference to the previously mentioned definitions of large scale?, Opinion
4/2018 on the draft list of the competent supervisory authority of Czech Republic
regarding the processing operations subject to the requirement of a data protection
impact assessment (Article 35.4 GDPR)?.
Debemos completarlo con el considerando 91 RGPD que fija, en cuanto a las
evaluaciones de impactos de protección de datos, que:
?Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a
gran escala que persiguen tratar una cantidad considerable de datos
personales a nivel regional, nacional o supranacional y que podrían afectar a
un gran número de interesados y entrañen probablemente un alto riesgo, por
ejemplo, debido a su sensibilidad, cuando, en función del nivel de
conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a
gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo
para los derechos y libertades de los interesados, en particular cuando estas
operaciones hace más difícil para los interesados el ejercicio de sus derechos.
??.
Un tratamiento a gran escala supone tratar una cantidad considerable de datos
personales (todos los citados en su política de privacidad) en un determinado ámbito
territorial (en este caso a nivel nacional); afectando a múltiples interesados (se trata de
una app de amplia implantación y con un gran número de interesados); también si
pueden entrañar alto riesgo (uno de los datos que utilizan es la de la geolocalización).
Examinados los parámetros explicitados al supuesto concreto, obviamente realiza un
tratamiento de datos a gran escala.
La Confederation of European Data Protection Organitations (CEDPO) determina
también una serie de criterios interpretativos comunes (no son vinculantes ni una
disposición normativa) e indican, en lo que nos pudiera servir que:
?Core activities? must be construed in accordance with the description of the
corporate purpose of the organization and the P&L revenues; ?Large scale?
should be understood according to a risk-based approach (rather than using
criteria such as number of employees or the ?volume? of personal data
processed in a certain period of time alone); ?Monitoring of behaviour? shall
exclude the IT monitoring activities that any organization nowadays must carry
out for the purposes of (i) (cyber)security; (ii) protecting the organization?s
systems and assets (including IP and confidential information as well as the
personal data stored or otherwise processed by the organization); and (iii)
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/50
complying with laws and regulatory guidance (e.g., data protection duties, antifraud
and anti-money laundering related activities)?.
Frente a las alegaciones formuladas en la demanda relativas a los criterios
cuantitativos que pueden utilizar otras autoridades de control para determinar cuándo
nos enfrentamos a un tratamiento a gran escala, hemos de significar que la AEPD es
una autoridad de control independiente que, en el cumplimiento de sus funciones,
determina en cada caso concreto si el tratamiento es o no a gran escala, atendiendo a
las circunstancias concurrentes.
En otro orden de cosas, indicaremos que el nombramiento obligatorio del DPD en el
supuesto previsto en el art. 37.1.b) del RGPD sólo se encuentra vinculado al
cumplimento de los presupuestos fijados en el mismo y no a otros relatados por el
demandante cuales son la tipología de los datos o de los tratamientos. El hecho de
que las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran
una observación habitual y sistemática de interesados a gran escala ya impone la
necesidad de nombramiento de DPD, por los riesgos que entraña, máxime si se
desarrolla a través de internet o de una app como en el supuesto examinado.
La figura del DPD como asesor cualificado del responsable o encargado del
tratamiento es un refuerzo imprescindible en los supuestos previstos en el RGPD y en
la LOPDGDD para garantizar el Derecho Fundamental a los ciudadanos y evitar la
materialización de los riesgos que una determinada actividad puede conllevar.
Pensemos simplemente en la suplantación de identidad (art. 28.2 de la LOPDGDD).
La nimiedad del riesgo queda por tanto descartada.
En todo caso no tener DPD cuando es obligatorio, es un riesgo para la protección de
datos de carácter personal.
En este sentido, la LOPDGDD determina en su artículo 34.1 y 3, sobre la designación
de un delegado de protección de datos, lo siguiente:
1. ?Los responsables y encargados del tratamiento deberán designar un delegado de
protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento
(UE) 2016/679
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez
días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades
autonómicas de protección de datos, las designaciones, nombramientos y ceses de
los delegados de protección de datos tanto en los supuestos en que se encuentren
obligadas a su designación como en el caso en que sea voluntaria.?
En base a los fundamentos de derecho expuestos anteriormente, los hechos indicados
en el apartado anterior son constitutivos de una infracción del artículo 37 del RGPD.
IV.-
c.- Sanción
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/50
Esta infracción puede ser sancionada con multa de 10.000.000 ? como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por la
de mayor cuantía, de acuerdo con el artículo 83.4.a) RGPD.
En este sentido, el artículo 73 LOPDGDD, considera grave, a efectos de prescripción,
?v) El incumplimiento de la obligación de designar un delegado de protección de datos
cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento
(UE) 2016/679 y el artículo 34 de esta ley orgánica.?.
De acuerdo con los preceptos indicados, a efectos de fijar el importe de la sanción a
imponer en el presente caso, se considera que procede graduar la sanción a imponer
de acuerdo con los siguientes criterios agravantes que establece el artículo 83.2 del
RGPD:
- La intencionalidad en la infracción, por parte de KFC, (apartado b), partiendo
de que se trata de una entidad cuya actividad lleva aparejado un continuo
tratamiento de datos personales de los clientes, se considera de especial
importancia recordar en este punto, la SAN de 17 de octubre de 2007 (rec.
63/2006), donde se indica que: ??el Tribunal Supremo viene entendiendo que
existe imprudencia siempre que se desatiende un deber legal de cuidado, es
decir, cuando el infractor no se comporta con la diligencia exigible. Y en la
valoración del grado de diligencia ha de ponderarse especialmente la
profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora
examinado, cuando la actividad de la recurrente es de constante y abundante
manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito
cuidado por ajustarse a las prevenciones legales al respecto".
Se considera además que, procede graduar la sanción a imponer de acuerdo con los
siguientes criterios agravantes, que establece el artículo 76.2 de la LOPDGDD:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales, (apartado b), considerando el nivel de implantación de la
entidad KFC en la economía del país, en la que se ven implicados datos
personales de miles de clientes que acceden diariamente a sus servicios.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2
LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el
artículo 37.1 RGPD, permite fijar una sanción de 20.000 euros (veinte mil euros).
IV.-
Medidas.
Esta Agencia acuerda imponer al responsable la adopción de medidas adecuadas
para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo
establecido en el citado artículo 58.2 d) del RGPD, la medida correctiva a imponer al
titular de la página web consiste en que se nombre Delegado de Protección de Datos,
según estipula el artículo 37 del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/50
Se advierte que no atender a los requerimientos de este organismo puede ser
considerado como una infracción administrativa conforme a lo dispuesto en el RGPD,
tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la
apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable, la Directora de la Agencia
Española de Protección de Datos
RESUELVE
PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones a la entidad, KFC
RESTAURANTS SPAIN, S.L., (KFC) con CIF.: B86281599, titular de la página web,
https://www.kfc.es respecto del artículo 6.1 del RGPD.
SEGUNDO: IMPONER a la entidad, KFC RESTAURANTS SPAIN, S.L., (KFC) con
CIF.: B86281599, titular de la página web, https://www.kfc.es con arreglo a lo
dispuesto en los artículos 63 y 64 de la LPACAP, por la infracción del artículo 37 del
RGPD, por la falta de nombramiento de un Delegado de Protección de Datos, una
sanción de 20.000 euros (veinte mil euros).
TERCERO: IMPONER a la entidad, KFC RESTAURANTS SPAIN, S.L., (KFC) con
CIF.: B86281599, titular de la página web, https://www.kfc.es con arreglo a lo
dispuesto en los artículos 63 y 64 de la LPACAP, por la infracción del artículo 13 del
RGPD, por la falta de información suministrada en la ?Política de Privacidad? sobre el
tratamiento de los datos personales obtenidos, con una sanción de 5.000 (cinco mil
euros).
CUARTO: ORDENAR a la entidad KFC RESTAURANTS SPAIN, S.L., que implante,
en el plazo de un mes, las medidas correctoras necesarias para adecuar su actuación
a la normativa de protección de datos personales, así como que informe a esta
Agencia en el mismo plazo sobre las medidas adoptadas, nombrando un Delegado de
Protección de Datos, según estipula el artículo 37 del RGPD.
QUINTO: ORDENAR a la entidad KFC RESTAURANTS SPAIN, S.L., que implante, en
el plazo de un mes, las medidas correctoras necesarias para adecuar su actuación a la
normativa de protección de datos personales, así como que informe a esta Agencia en
el mismo plazo sobre las medidas adoptadas, adecuando la ?Política de Privacidad? de
su página web www.kfc.es a lo estipulado en el artículo 13 del RGPD.
SEXTO: NOTIFICAR la presente resolución a la entidad KFC RESTAURANTS SPAIN,
S.L., (KFC) con CIF.: B86281599,
Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una vez sea
ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b)
de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 del
Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de
julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su
ingreso en la cuenta restringida Nº ES00 0000 0000 0000 0000 , abierta a nombre de
la Agencia Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.
o en caso contrario, se procederá a su recaudación en período ejecutivo.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/50
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.6 de la
LOPDGDD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, los interesados podrán interponer, potestativamente,
recurso de reposición la Directora de la Agencia Española de Protección de Datos en
el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución
o directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo
de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y
en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio,
reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a
contar desde el día siguiente a la notificación de este acto, según lo previsto en el
artículo 46.1 del referido texto legal.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas, se podrá suspender cautelarmente la resolución firme en vía administrativa si
el interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es