Última revisión
Resolución de la Agencia Española de Protección de Datos PS-00149-2017 de 05 de octubre de 2017
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 05/10/2017
Num. Resolución: PS-00149-2017
Cuestión
Sector:1 / 11
Procedimiento Nº PS/00149/2017
RESOLUCIÓN: R/02472/2017
En el procedimiento sancionador PS/00149/2017, instruido por la Agencia Española de
Protección de Datos a la entidad G.G.G.. , vista la denuncia presentada por C.C.C. , y en
base a los siguientes
ANTECEDENTES
PRIMERO:...
Contestacion
1/11
Procedimiento Nº PS/00149/2017
RESOLUCIÓN: R/02472/2017
En el procedimiento sancionador PS/00149/2017, instruido por la Agencia Española de
Protección de Datos a la entidad G.G.G.., vista la denuncia presentada por C.C.C., y en
base a los siguientes
ANTECEDENTES
PRIMERO: El 20 de abril de 2016 y subsanación de la misma con fecha de 13 de julio
de 2016, tiene entrada en la Agencia Española de Protección de Datos escrito de Dña.
C.C.C. (en lo sucesivo la denunciante), en el que denuncia a G.G.G.. (en lo sucesivo
OK MONEY), por los siguientes hechos: han facilitado sus datos personales a la
empresa INTRUM JUSTITIA para que requiera el pago de una supuesta deuda y que
nunca ha solicitado los servicios de la empresa acreedora.
Que la compañía INTRUM JUSTITIA le informa que el origen de la deuda
reclamada corresponde a un crédito solicitado por internet a la empresa OK MONEY y
que no había abonado.
Que según la denunciante tuvieron lugar los hechos: en el año 2016.
Y, entre otra, anexa la siguiente documentación:
? Sendos requerimientos de pago dirigidos a la denunciante por la empresa INTRUM
JUSTITIA, con fecha de 28 de enero y 28 de marzo de 2016, de una deuda por
importe de 906?, contraída con la empresa G.G.G.., referencia ***REF.1. Dichos
requerimientos de pago han sido remitidos a la dirección postal calle B.B.B., la
misma que consta en la denuncia ante esta AEPD.
? Reclamación remitida por la denunciante a INTRUM JUSTITIA, mediante correo
electrónico, desde la dirección D.D.D. a , el día 4 de febrero de 2016,
como datos identificativos exclusivamente facilita el nº de referencia ***REF.2, pero
con un digito más del que consta en los requerimientos de pago, no especificando
datos identificativos como nombre, apellidos y NIF.
? Documento Nacional de Identidad de la denunciante, K.K.K., en el que consta como
dirección A.A.A..
La denunciante no acredita que se hubiera dirigido a la compañía denunciada
OK MONEY ni que hubiera formulado denuncia ante otros organismos.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
2/11
SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por
los Servicios de Inspección de esta Agencia se solicita información a la entidad G.G.G..,
teniendo conocimiento de que:
La compañía G.G.G.., cuyo objeto social es la concesión de microcréditos a
través de la página web , actuando en el tráfico mercantil con el nombre
?Kyzoo? (el prestamista), ha informado a la inspección de Datos, con fecha de 21 de
septiembre de 2016, en relación con la deuda mantenida por la denunciante con la
entidad lo siguiente:
La contratación del préstamo por parte de la denunciante se ha realizado a
través de internet, y que para validar la identidad del contratante la compañía cuenta con
un sistema normalizado y estandarizado del proceso de contratación, en el que el cliente
tiene que cumplimentar sus datos personales: nombre, apellidos, NIF, dirección postal y
dirección de correo electrónico, así como su número de cuenta, el titular del número de
cuenta y el número de contacto de su móvil.
El sistema informático de contratación de la compañía se encuentra conectado
con los datos del Banco de España, en el caso de que el titular de la cuenta bancaria
introducida no coincida con el número de cuenta aportado, el sistema automáticamente
invalida la contratación del producto. Asimismo, para mayor seguridad de identificación
del potencial cliente, con carácter previo a que finalice el proceso de contratación, OK
MONEY remite un código al número de móvil facilitado por el potencial cliente, para que
tenga que introducir dicho código en la plataforma de contratación antes de que finalice
la contratación del producto.
Para ejecutar satisfactoriamente el proceso de contratación, el potencial cliente
tiene la obligación de leer y estudiar la información precontractual remitida, y de revisar
los datos personales facilitados, pudiendo en ese momento optar por continuar con el
proceso de contratación o mostrar su disconformidad y optar por la decisión de no seguir
adelante con la contratación.
El cliente aceptó y mostró expresamente su conformidad efectuando el click en la
casilla que el cliente ha entendido las condiciones aplicables al producto y que presta su
consentimiento para contratar el producto.
De la documentación aportada por la compañía OK MONEY, en soporte CD, se
desprende lo siguiente:
? Los datos personales de la denunciante de que dispone la entidad son los
siguientes: nombre, apellidos, NIF K.K.K., dirección de correo electrónico teléfono + J.J.J., cuenta bancaria ***CC.1, nº de cliente ***, sexo ****, edad **, modo
de facturación email y teléfono adicional I.I.I..
? El cliente contrató los prestamos siguientes:
Nº M.M.M. fecha 24 de junio de 2015 por importe de 300?
Nº L.L.L. fecha 30 de junio de 2015 por importe de 600?
Fecha de pago a plazos y de vencimiento original el 30 de julio de 2015.
- En relación con la documentación contractual: se aporta Contrato Marco de
préstamos, de fecha 25 de junio de 2015, entre la empresa OK MONEY y C.C.C.,
NIF K.K.K., teléfono móvil + J.J.J. y dirección de correo electrónico F.F.F., pero no
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
3/11
consta suscrito por las partes. En la cláusula 5.3 del mismo se indica ?Dentro de los
catorce (14) siguientes a la aceptación del Contrato, el Prestatario deberá facilitar al
Prestamista copia de su DNI/NIE para que el Prestamista pueda verificar su
identidad? y la cláusula 5.4 ?Dentro de los catorce (14) siguientes a cualquier
solicitud de Préstamo, el Prestatario deberá facilitar al Prestamista sus datos
bancarios mediante una copia de un extracto o recibo reciente de su cuenta
bancaria y los datos de las tarjetas de crédito o débito en las que se deban cargar
los Importes Pendientes (?)?.
También, se adjuntan Términos y condiciones aplicables a los préstamos e
Información normalizada sobre crédito al consumo.
Si bien no se aporta el DNI de la denunciante ni documentación de la cuenta
corriente.
- En relación con facturas: se aportan ?4? facturas emitidas por la compañía OK
MONEY a nombre C.C.C., con domicilio en B.B.B. y teléfono J.J.J., ?3? de fecha
de contratación el 30 de junio de 2015 y ?1? de fecha de contratación 24 de junio de
2015.
- En relación con los contactos mantenidos por la empresa con la denunciante: se
aportan ?13? comunicaciones desde el 25 de junio de 2015 al 26 de enero de 2016,
entre otros, le informan del procedimiento para realizar la devolución del préstamo.
La primera de ellas de fecha 25 de junio de 2015 por el préstamo de 300? y la última
de fecha 26 de enero de 2016 por el préstamo de 600?. Remitidos por correo
electrónico a la dirección También, se aporta mensajes SMS remitidos al nº de móvil J.J.J., como los de
fecha 24 y 30 de 2015 ?gracias por elegir Kyzoo?? y ?C.C.C., cargaremos en tu
tarjeta ??.
Anexo a la Diligencia de fecha 15 de marzo de 2017 consta impresión de la
documentación aportada por la compañía OK MONEY en el soporte CD.
TERCERO: Con fecha 11 de abril de 2017, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a OK MONEY por la
presunta infracción del artículo 6.1, de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOP), tipificada como grave
en el artículo 44.3b) de dicha norma, pudiendo ser sancionada, con multa de 40.001 a
300.000 euros, de acuerdo con el artículo 45.2 de dicha Ley Orgánica.
CUARTO: OK MONEY mediante escrito de 11 de mayo de 2017 solicito la acumulación
del presente procedimiento con otros abiertos en la Agencia.
QUINTO: Notificado el acuerdo de inicio, la representación de OK MONEY mediante
escrito de fecha 17 de mayo de 2017 formuló en síntesis las siguientes alegaciones: la
concurrencia de circunstancias atenuantes adicionales señaladas en el artículo 45.4 de
la LOPD por lo que solicita minorar el importe de la sanción señalada y reitera la
acumulación del expediente a otros abiertos frente a la entidad.
SEXTO: Con fecha 25 de mayo de 2017, se inició el período de práctica de pruebas y se
acordaba dar por reproducidos a efectos probatorios la denuncia interpuesta por Dña.
C.C.C. y su documentación, los documentos obtenidos y generados por los Servicios de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
4/11
Inspección, el Informe de actuaciones previas de Inspección, las alegaciones al acuerdo
de inicio presentadas por OK MONEY.
SÉPTIMO: Con fecha 26 de junio de 2017, se inició el trámite de audiencia por un plazo
de diez días, para formular alegaciones y aportar cuantos documentos estime de interés,
y asimismo, se notifica la relación de documentos obrantes en el procedimiento a fin de
que pueda obtener copias de los que estime convenientes. Todo ello, según lo dispuesto
en el artículo 82 de la Ley 39/2015, de 1 de octubre de Procedimiento Administrativo
Común de las Administraciones Públicas, notificándose a las partes interesadas.
OCTAVO: OK MONEY mediante escrito de 13 de Julio de 2017, solicita minorar el
importe de la sanción impuesta por la mejora radical que han experimentado los
procedimientos internos de OK MONEY desde el 1 de enero de 2016. Aportan la
explicación detallada del ?Proceso de Solicitud de Préstamo antes del 1 de enero de
2016? y como Anexo II el ?Proceso de Solicitud de Préstamo después del 1 de enero de
2016?.
NOVENO: Con fecha 21 de julio de 2017 se dictó propuesta de resolución que fue
notificada a OK MONEY, en fecha 1 de agosto de 2017, concediéndose el citado plazo
para formular alegaciones, las cuales fueron presentadas en fecha 10 de agosto de
2017. Se reiteraban los argumentos ya expuestos en anteriores alegaciones, en que OK
MONEY al conocer de la existencia de una posible suplantación de identidad del
denunciante, procedió a eliminar de inmediato los datos personales de este, cancelando
toda relación con Dña. C.C.C. y procediendo a la anulación de la deuda y solicitando a
la empresa INTRUM JUSTITIA que dejara de tratar dichos datos y los eliminase de sus
sistemas, lo que debería dar lugar a la minoración de la sanción. Por otra parte se
señala del error en la apreciación del grado de antijuricidad y culpabilidad de ok
MONEY. Dado que el cambio procedimental que ha experimentado OK MONEY en el
último año y medio, debería ser tenido en cuenta por la AEPD para minorar las
sanciones impuestas.
HECHOS PROBADOS
PRIMERO: El 20 de abril de 2016 y subsanación de la misma con fecha de 13 de julio
de 2016, tiene entrada en la Agencia Española de Protección de Datos escrito de Dña.
C.C.C., en el que niega relación con OK MONEY que le requiere una deuda el 28 de
enero y 28 de marzo de 2016, que corresponde a un crédito solicitado por internet a la
empresa OK MONEY. (folios 1 al 22).
SEGUNDO: OK MONEY no ha acreditado que cuente con el consentimiento inequívoco
de la denunciante para el tratamiento de sus datos, ni que concurra circunstancia alguna
que permitiría a OK MONEY tratar los datos de la denunciante sin su consentimiento.
OK MONEY aporta la documentación de la contratación de los préstamos
M.M.M. y L.L.L. (microcréditos) concedidos el 24 y 30 de junio de 2015 por importes de
300,00 y 600,00 euros; operación en la que se aporta contrato marco de préstamos de
fecha 25 de junio de 2015, entre la empresa OK MONEY y Dña C.C.C., NIF K.K.K.,
TELÉFONO MÓVIL J.J.J. y dirección de correo electrónico H.H.H., pero no consta
suscrito por las partes. En la cláusula 5.3 del mismo se indica ?Dentro de los catorce
(14) siguientes a la aceptación del Contrato, el Prestatario deberá facilitar al Prestamista
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
5/11
copia de su DNI/NIE para que el Prestamista pueda verificar su identidad? y la cláusula
5.4 ?Dentro de los catorce (14) siguientes a cualquier solicitud de Préstamo, el
Prestatario deberá facilitar al Prestamista sus datos bancarios mediante una copia de un
extracto o recibo reciente de su cuenta bancaria y los datos de las tarjetas de crédito o
débito en las que se deban cargar los Importes Pendientes (?)?.
También, se adjuntan Términos y condiciones aplicables a los préstamos e
Información normalizada sobre crédito al consumo.
Si bien no se aporta el DNI de la denunciante ni documentación de la cuenta
corriente (folios 51 al 111).
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g)
en relación con el artículo 36 de la LOPD.
II
Se imputa a OK MONEY en el presente procedimiento sancionador una
infracción del artículo 6.1 de la LOPD, que determina:
?1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa?.
Por su parte en el apartado 2, del mismo artículo, se señala que:
?2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el
ámbito de sus competencias; cuando se refieran a las partes de un contrato o
precontrato de una relación negocial, laboral o administrativa y sean necesarios para su
mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad
proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la
presente Ley, o cuando los datos figuren en fuentes accesibles al público y su
tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre
que no se vulneren los derechos y libertades fundamentales del interesado?.
El tratamiento de datos de carácter personal tiene que contar con el
consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen
de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
6/11
relación contractual o negocial entre el titular de los datos y el responsable del
tratamiento que sea necesaria para el mantenimiento del contrato.
El tratamiento de datos sin consentimiento de los afectados constituye un límite
al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal
Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo)
?consiste en un poder de disposición y de control sobre los datos personales que faculta
a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado
o un particular, o cuáles puede este tercero recabar, y que también permite al individuo
saber quién posee esos datos personales y para qué, pudiendo oponerse a esa
posesión o uso. Estos poderes de disposición y control sobre los datos personales, que
constituyen parte del contenido del derecho fundamental a la protección de datos se
concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso
a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o
usos posibles, por un tercero, sea el estado o un particular (...).
Son pues elementos característicos del derecho fundamental a la protección de
datos personales los derechos del afectado a consentir sobre la recogida y uso de sus
datos personales y a saber de los mismos.
OK MONEY no ha acreditado que cuente con el consentimiento inequívoco del
denunciante para el tratamiento de sus datos de carácter personal, materializado en la
vinculación con la contratación de los préstamos M.M.M. y L.L.L. (microcréditos)
concedidos el 24 y 30 de junio de 2015 por importes de 300,00 y 600,00 euros;
operación en la que se aporta contrato marco de préstamos de fecha 25 de junio de
2015, entre la empresa OK MONEY y Dña C.C.C., NIF K.K.K., TELÉFONO MÓVIL
J.J.J. y dirección de correo electrónico H.H.H., pero no consta suscrito por las partes.
En la cláusula 5.3 del mismo se indica ?Dentro de los catorce (14) siguientes a la
aceptación del Contrato, el Prestatario deberá facilitar al Prestamista copia de su
DNI/NIE para que el Prestamista pueda verificar su identidad? y la cláusula 5.4 ?Dentro
de los catorce (14) siguientes a cualquier solicitud de Préstamo, el Prestatario deberá
facilitar al Prestamista sus datos bancarios mediante una copia de un extracto o recibo
reciente de su cuenta bancaria y los datos de las tarjetas de crédito o débito en las que
se deban cargar los Importes Pendientes (?)?.
También, se adjuntan Términos y condiciones aplicables a los préstamos e
Información normalizada sobre crédito al consumo.
Si bien no se aporta el DNI de la denunciante ni documentación de la cuenta
corriente (folios 51 al 111)..
Dicho tratamiento de datos vulnera el principio de consentimiento, recogido en el
artículo 6.1 de la LOPD, por cuanto el mismo ni se realizó con el consentimiento del
denunciante, ni concurre en el supuesto examinado ninguna de las circunstancias
previstas en el artículo 6.2 de la LOPD que permitirían a OK MONEY tratar los datos de
la denunciante sin su consentimiento.
III
De acuerdo con las previsiones de la LOPD, el artículo 44.3.b) tipifica como
infracción grave ?Tratar datos de carácter personal sin recabar el consentimiento de las
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
7/11
personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta
Ley y sus disposiciones de desarrollo?.
A tenor del artículo 45.2 las infracciones graves serán sancionadas con multa de
40.001 a 300.000 euros.
OK MONEY ha incurrido en la infracción descrita ya que ha vulnerado dicho
principios, consagrados en los artículos 6.1 de la LOPD, habiendo quedado acreditado
que no existía relación contractual ya que los préstamos M.M.M. y L.L.L.
(microcréditos) concedidos el 24 y 30 de junio de 2015 por importes de 300,00 y 600,00
euros, no habían sido contratados por el denunciante y que encuentran su tipificación en
los artículos 44.3.b) de la citada Ley Orgánica.
IV
El artículo 45.2, 4 y 5 de la LOPD establece que:
"2. Las infracciones graves serán sancionadas con multa de 40.001 ? a 300.000
?
(?)
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos
de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a
terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción
la entidad imputada tenía implantados procedimientos adecuados de actuación
en la recogida y tratamiento de Ios datos de carácter personal, siendo la
infracción consecuencia de una anomalía en el funcionamiento de dichos
procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
8/11
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la
escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los siguientes
supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado
o de la antijuridicidad del hecho como consecuencia de la concurrencia
significativa de varios de los criterios enunciados en el apartado 4 de este
artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma
diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la
comisión e la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción
fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente".
En el supuesto examinado, OK MONEY ha solicitado en sus alegaciones que en
el presente caso concurren circunstancias atenuantes del artículo 45.4 de la LOPD que
han de ser tenidas en cuenta a la hora de graduar la sanción a imponer.
Hay que señalar que el artículo 45.5 de la LOPD deriva del principio de
proporcionalidad de la sanción y permite establecer "la cuantía de la sanción aplicando
la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate", pero para ello es
necesario la concurrencia de, o bien una cualificada disminución de la culpabilidad del
imputado, o bien de la antijuridicidad del hecho, o bien de alguna otra de las
circunstancias que el mismo precepto cita.
En el presente caso, ha quedado acreditado que OK MONEY ha vulnerado el
artículo 6.1 de la LOPD, al no poder acreditar el consentimiento inequívoco del
denunciante en la contratación los préstamos M.M.M. y L.L.L. (microcréditos)
concedidos el 24 y 30 de junio de 2015 por importes de 300,00 y 600,00 euros, que ha
quedado acreditado que el denunciante no era parte del contrato de préstamo, por lo
que la actuación de OK MONEY ha de ser objeto de sanción.
OK MONEY ha invocado la concurrencia de criterios previstos en el artículo 45.4
LOPD a efectos de la graduación de la sanción a imponer.
En cuanto a la ausencia de beneficios, circunstancia prevista en el apartado e)
del artículo 45.4 no puede aceptarse puesto que su intención era precisamente la de
obtenerlos; es cierto, que el préstamo no ha podido ser reintegrado pero la entidad ha
intentado no solo el cobro del mismo, sino también de sus intereses en relación con una
persona, el denunciante, que no era el deudor.
En relación a la circunstancia prevista en el apartado f) del artículo 45.4, relativa
al grado de intencionalidad expresión que debe entenderse en el sentido del grado de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
9/11
?culpabilidad?, esta interpretación ha sido corroborada por la Audiencia Nacional en su
sentencia de 12/11/2007 (Rec. 351/2006), señalando ?Comienza el recurrente
invocando la no intencionalidad de su conducta. (?) Cuando concurre una falta de
diligencia, como aquí acontece, existe culpabilidad y la conducta merece sin duda un
reproche sancionador sin que el hecho de que no exista actuación dolosa deba
conllevar necesariamente una disminución aún mayor de la sanción cuando ésta ha sido
impuesta en su grado mínimo?. Por tal razón, si bien es cierto que no es posible sostener
en el presente asunto que la entidad hubiera actuado intencionadamente o con dolo, hay
que señalar que el tipo apreciado no requiere dolo para su perfección, pudiendo ser
cometido a título de simple negligencia.
En cuanto a cualquier otra circunstancia que sea relevante para determinar el
grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora,
circunstancia prevista en el apartado j del artículo 45.4. Se encuentra en este apartado,
como exponente de una mayor antijuricidad y culpabilidad de la entidad imputada, el
hecho de que ?el protocolo? que OK MONEY dice tener implementado para la
identificación de los clientes que contratan con ella a través de internet ?protocolo que
describe en su respuesta al requerimiento informativo de la AEPD- es absolutamente
inconsistente, lo que implica que en la práctica carece de un mecanismo para verificar la
identidad de las personas que contratan con ella. Extremo que es especialmente
significativo si tenemos en cuenta que todas las operaciones crediticias ?que son el
objeto de su negocio- se efectúan a través de internet. Es cierto que señala OK MONEY
que a partir del 1 de enero de 2016, el sistema de proceso de solicitud de préstamo, lo
ha modificado, pero la presente denuncia es anterior a dicho cambio.
Tras las evidencias obtenidas en la fase de investigaciones previas, y sin
perjuicio de lo que resulte de la instrucción, se estima que procede graduar la sanción a
imponer de acuerdo con los siguientes criterios que establece el artículo 45.4 de la
LOPD.
Operan como circunstancias agravantes de la conducta que se enjuicia:
- El apartado a) ?El carácter continuado de la infracción? pues los datos
personales del denunciante continuaron siendo tratados a pesar de que la contratación
no ha sido acreditada.
- El apartado c) ?La vinculación de la actividad del infractor con la realización de
tratamientos de datos de carácter personal? ya que la actividad empresarial de la
denunciada exige un continuo tratamiento de datos de carácter personal tanto de
clientes como de terceros.
- El apartado f) ?El grado de intencionalidad?, puesto que aportan contrato no
firmado que dice que se deberá aportar copia del DNI y extracto bancario para
comprobar cuenta pero no aportan estos documentos.
-El apartado j) Cualquier otra circunstancia que sea relevante para determinar el
grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora. Se
encuadra en este apartado, como exponente de una mayor antijuridicidad y culpabilidad
de la entidad imputada, el hecho de que el ?protocolo? que OK MONEY dice tener
implementado para la identificación de los clientes que contratan con ella a través de
internet ?protocolo que describe en su respuesta al requerimiento informativo de la
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
10/11
AEPD- es absolutamente inconsistente, lo que implica que en la práctica carece de un
mecanismo para verificar la identidad de las personas que contratan con ella. Extremo
que es especialmente significativo si tenemos en cuenta que todas las operaciones
crediticias ?que son el objeto de su negocio- se efectúan a través de internet.
Paralelamente concurre como atenuante de la infracción del artículo 6.1 de la
LOPD que se atribuye a la denunciada la circunstancia descrita en el apartado d) del
artículo 45.4 LOPD, ?El volumen de negocio o actividad del infractor?. No estamos ante
una gran empresa, sino ante un PYME que cuenta con ocho empleados y cuyo capital
social es de 960.000 euros.
Por tanto, se establece una sanción por vulneración del artículo 6.1 de la LOPD,
en la cuantía de 50.000 euros al no haber quedado acreditado en el presente caso
ninguna de las circunstancias que permitirían la aplicación de lo dispuesto en el artículo
45.5 de la LOPD.
Vistos los preceptos citados y demás de general aplicación,
La directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad G.G.G.., por una infracción del artículo Artículo 6.1
de la LOPD de la LOPD, tipificada como grave en el artículo 44.3.b) de la LOPD, una
multa de 50.000 ?, de conformidad con lo establecido en el artículo 45.2 de la citada
LOPD.
SEGUNDO: NOTIFICAR la presente resolución a G.G.G...
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una
vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo
98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68
del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29
de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su
ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre
de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en
caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la
redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas
fiscales, administrativas y del orden social, la presente Resolución se hará pública, una
vez haya sido notificada a los interesados. La publicación se realizará conforme a lo
previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de
Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto
en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto
1720/2007, de 21 diciembre.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
11/11
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones
Públicas, los interesados podrán interponer, potestativamente, recurso de reposición
ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes
a contar desde el día siguiente a la notificación de esta resolución, o, directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la
disposición adicional cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción
Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a
la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es