Resolución de la Agencia Española de Protección de Datos PS-00149-2017 de 05 de octubre de 2017
Resoluciones
Resolución de la Agencia ...re de 2017

Última revisión

Resolución de la Agencia Española de Protección de Datos PS-00149-2017 de 05 de octubre de 2017

Tiempo de lectura: 28 min

Relacionados:

Órgano: Agencia Española de Protección de Datos

Fecha: 05/10/2017

Num. Resolución: PS-00149-2017

Tiempo de lectura: 28 min


Cuestión

Sector:

1 / 11

Procedimiento Nº PS/00149/2017

RESOLUCIÓN: R/02472/2017

En el procedimiento sancionador PS/00149/2017, instruido por la Agencia Española de

Protección de Datos a la entidad G.G.G.. , vista la denuncia presentada por C.C.C. , y en

base a los siguientes

ANTECEDENTES

PRIMERO:...

Contestacion

1/11

Procedimiento Nº PS/00149/2017

RESOLUCIÓN: R/02472/2017

En el procedimiento sancionador PS/00149/2017, instruido por la Agencia Española de

Protección de Datos a la entidad G.G.G.., vista la denuncia presentada por C.C.C., y en

base a los siguientes

ANTECEDENTES

PRIMERO: El 20 de abril de 2016 y subsanación de la misma con fecha de 13 de julio

de 2016, tiene entrada en la Agencia Española de Protección de Datos escrito de Dña.

C.C.C. (en lo sucesivo la denunciante), en el que denuncia a G.G.G.. (en lo sucesivo

OK MONEY), por los siguientes hechos: han facilitado sus datos personales a la

empresa INTRUM JUSTITIA para que requiera el pago de una supuesta deuda y que

nunca ha solicitado los servicios de la empresa acreedora.

Que la compañía INTRUM JUSTITIA le informa que el origen de la deuda

reclamada corresponde a un crédito solicitado por internet a la empresa OK MONEY y

que no había abonado.

Que según la denunciante tuvieron lugar los hechos: en el año 2016.

Y, entre otra, anexa la siguiente documentación:

? Sendos requerimientos de pago dirigidos a la denunciante por la empresa INTRUM

JUSTITIA, con fecha de 28 de enero y 28 de marzo de 2016, de una deuda por

importe de 906?, contraída con la empresa G.G.G.., referencia ***REF.1. Dichos

requerimientos de pago han sido remitidos a la dirección postal calle B.B.B., la

misma que consta en la denuncia ante esta AEPD.

? Reclamación remitida por la denunciante a INTRUM JUSTITIA, mediante correo

electrónico, desde la dirección D.D.D. a , el día 4 de febrero de 2016,

como datos identificativos exclusivamente facilita el nº de referencia ***REF.2, pero

con un digito más del que consta en los requerimientos de pago, no especificando

datos identificativos como nombre, apellidos y NIF.

? Documento Nacional de Identidad de la denunciante, K.K.K., en el que consta como

dirección A.A.A..

La denunciante no acredita que se hubiera dirigido a la compañía denunciada

OK MONEY ni que hubiera formulado denuncia ante otros organismos.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

2/11

SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por

los Servicios de Inspección de esta Agencia se solicita información a la entidad G.G.G..,

teniendo conocimiento de que:

La compañía G.G.G.., cuyo objeto social es la concesión de microcréditos a

través de la página web , actuando en el tráfico mercantil con el nombre

?Kyzoo? (el prestamista), ha informado a la inspección de Datos, con fecha de 21 de

septiembre de 2016, en relación con la deuda mantenida por la denunciante con la

entidad lo siguiente:

La contratación del préstamo por parte de la denunciante se ha realizado a

través de internet, y que para validar la identidad del contratante la compañía cuenta con

un sistema normalizado y estandarizado del proceso de contratación, en el que el cliente

tiene que cumplimentar sus datos personales: nombre, apellidos, NIF, dirección postal y

dirección de correo electrónico, así como su número de cuenta, el titular del número de

cuenta y el número de contacto de su móvil.

El sistema informático de contratación de la compañía se encuentra conectado

con los datos del Banco de España, en el caso de que el titular de la cuenta bancaria

introducida no coincida con el número de cuenta aportado, el sistema automáticamente

invalida la contratación del producto. Asimismo, para mayor seguridad de identificación

del potencial cliente, con carácter previo a que finalice el proceso de contratación, OK

MONEY remite un código al número de móvil facilitado por el potencial cliente, para que

tenga que introducir dicho código en la plataforma de contratación antes de que finalice

la contratación del producto.

Para ejecutar satisfactoriamente el proceso de contratación, el potencial cliente

tiene la obligación de leer y estudiar la información precontractual remitida, y de revisar

los datos personales facilitados, pudiendo en ese momento optar por continuar con el

proceso de contratación o mostrar su disconformidad y optar por la decisión de no seguir

adelante con la contratación.

El cliente aceptó y mostró expresamente su conformidad efectuando el click en la

casilla que el cliente ha entendido las condiciones aplicables al producto y que presta su

consentimiento para contratar el producto.

De la documentación aportada por la compañía OK MONEY, en soporte CD, se

desprende lo siguiente:

? Los datos personales de la denunciante de que dispone la entidad son los

siguientes: nombre, apellidos, NIF K.K.K., dirección de correo electrónico teléfono + J.J.J., cuenta bancaria ***CC.1, nº de cliente ***, sexo ****, edad **, modo

de facturación email y teléfono adicional I.I.I..

? El cliente contrató los prestamos siguientes:

Nº M.M.M. fecha 24 de junio de 2015 por importe de 300?

Nº L.L.L. fecha 30 de junio de 2015 por importe de 600?

Fecha de pago a plazos y de vencimiento original el 30 de julio de 2015.

- En relación con la documentación contractual: se aporta Contrato Marco de

préstamos, de fecha 25 de junio de 2015, entre la empresa OK MONEY y C.C.C.,

NIF K.K.K., teléfono móvil + J.J.J. y dirección de correo electrónico F.F.F., pero no

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

3/11

consta suscrito por las partes. En la cláusula 5.3 del mismo se indica ?Dentro de los

catorce (14) siguientes a la aceptación del Contrato, el Prestatario deberá facilitar al

Prestamista copia de su DNI/NIE para que el Prestamista pueda verificar su

identidad? y la cláusula 5.4 ?Dentro de los catorce (14) siguientes a cualquier

solicitud de Préstamo, el Prestatario deberá facilitar al Prestamista sus datos

bancarios mediante una copia de un extracto o recibo reciente de su cuenta

bancaria y los datos de las tarjetas de crédito o débito en las que se deban cargar

los Importes Pendientes (?)?.

También, se adjuntan Términos y condiciones aplicables a los préstamos e

Información normalizada sobre crédito al consumo.

Si bien no se aporta el DNI de la denunciante ni documentación de la cuenta

corriente.

- En relación con facturas: se aportan ?4? facturas emitidas por la compañía OK

MONEY a nombre C.C.C., con domicilio en B.B.B. y teléfono J.J.J., ?3? de fecha

de contratación el 30 de junio de 2015 y ?1? de fecha de contratación 24 de junio de

2015.

- En relación con los contactos mantenidos por la empresa con la denunciante: se

aportan ?13? comunicaciones desde el 25 de junio de 2015 al 26 de enero de 2016,

entre otros, le informan del procedimiento para realizar la devolución del préstamo.

La primera de ellas de fecha 25 de junio de 2015 por el préstamo de 300? y la última

de fecha 26 de enero de 2016 por el préstamo de 600?. Remitidos por correo

electrónico a la dirección También, se aporta mensajes SMS remitidos al nº de móvil J.J.J., como los de

fecha 24 y 30 de 2015 ?gracias por elegir Kyzoo?? y ?C.C.C., cargaremos en tu

tarjeta ??.

Anexo a la Diligencia de fecha 15 de marzo de 2017 consta impresión de la

documentación aportada por la compañía OK MONEY en el soporte CD.

TERCERO: Con fecha 11 de abril de 2017, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a OK MONEY por la

presunta infracción del artículo 6.1, de la Ley Orgánica 15/1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal (en lo sucesivo LOP), tipificada como grave

en el artículo 44.3b) de dicha norma, pudiendo ser sancionada, con multa de 40.001 a

300.000 euros, de acuerdo con el artículo 45.2 de dicha Ley Orgánica.

CUARTO: OK MONEY mediante escrito de 11 de mayo de 2017 solicito la acumulación

del presente procedimiento con otros abiertos en la Agencia.

QUINTO: Notificado el acuerdo de inicio, la representación de OK MONEY mediante

escrito de fecha 17 de mayo de 2017 formuló en síntesis las siguientes alegaciones: la

concurrencia de circunstancias atenuantes adicionales señaladas en el artículo 45.4 de

la LOPD por lo que solicita minorar el importe de la sanción señalada y reitera la

acumulación del expediente a otros abiertos frente a la entidad.

SEXTO: Con fecha 25 de mayo de 2017, se inició el período de práctica de pruebas y se

acordaba dar por reproducidos a efectos probatorios la denuncia interpuesta por Dña.

C.C.C. y su documentación, los documentos obtenidos y generados por los Servicios de

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

4/11

Inspección, el Informe de actuaciones previas de Inspección, las alegaciones al acuerdo

de inicio presentadas por OK MONEY.

SÉPTIMO: Con fecha 26 de junio de 2017, se inició el trámite de audiencia por un plazo

de diez días, para formular alegaciones y aportar cuantos documentos estime de interés,

y asimismo, se notifica la relación de documentos obrantes en el procedimiento a fin de

que pueda obtener copias de los que estime convenientes. Todo ello, según lo dispuesto

en el artículo 82 de la Ley 39/2015, de 1 de octubre de Procedimiento Administrativo

Común de las Administraciones Públicas, notificándose a las partes interesadas.

OCTAVO: OK MONEY mediante escrito de 13 de Julio de 2017, solicita minorar el

importe de la sanción impuesta por la mejora radical que han experimentado los

procedimientos internos de OK MONEY desde el 1 de enero de 2016. Aportan la

explicación detallada del ?Proceso de Solicitud de Préstamo antes del 1 de enero de

2016? y como Anexo II el ?Proceso de Solicitud de Préstamo después del 1 de enero de

2016?.

NOVENO: Con fecha 21 de julio de 2017 se dictó propuesta de resolución que fue

notificada a OK MONEY, en fecha 1 de agosto de 2017, concediéndose el citado plazo

para formular alegaciones, las cuales fueron presentadas en fecha 10 de agosto de

2017. Se reiteraban los argumentos ya expuestos en anteriores alegaciones, en que OK

MONEY al conocer de la existencia de una posible suplantación de identidad del

denunciante, procedió a eliminar de inmediato los datos personales de este, cancelando

toda relación con Dña. C.C.C. y procediendo a la anulación de la deuda y solicitando a

la empresa INTRUM JUSTITIA que dejara de tratar dichos datos y los eliminase de sus

sistemas, lo que debería dar lugar a la minoración de la sanción. Por otra parte se

señala del error en la apreciación del grado de antijuricidad y culpabilidad de ok

MONEY. Dado que el cambio procedimental que ha experimentado OK MONEY en el

último año y medio, debería ser tenido en cuenta por la AEPD para minorar las

sanciones impuestas.

HECHOS PROBADOS

PRIMERO: El 20 de abril de 2016 y subsanación de la misma con fecha de 13 de julio

de 2016, tiene entrada en la Agencia Española de Protección de Datos escrito de Dña.

C.C.C., en el que niega relación con OK MONEY que le requiere una deuda el 28 de

enero y 28 de marzo de 2016, que corresponde a un crédito solicitado por internet a la

empresa OK MONEY. (folios 1 al 22).

SEGUNDO: OK MONEY no ha acreditado que cuente con el consentimiento inequívoco

de la denunciante para el tratamiento de sus datos, ni que concurra circunstancia alguna

que permitiría a OK MONEY tratar los datos de la denunciante sin su consentimiento.

OK MONEY aporta la documentación de la contratación de los préstamos

M.M.M. y L.L.L. (microcréditos) concedidos el 24 y 30 de junio de 2015 por importes de

300,00 y 600,00 euros; operación en la que se aporta contrato marco de préstamos de

fecha 25 de junio de 2015, entre la empresa OK MONEY y Dña C.C.C., NIF K.K.K.,

TELÉFONO MÓVIL J.J.J. y dirección de correo electrónico H.H.H., pero no consta

suscrito por las partes. En la cláusula 5.3 del mismo se indica ?Dentro de los catorce

(14) siguientes a la aceptación del Contrato, el Prestatario deberá facilitar al Prestamista

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

5/11

copia de su DNI/NIE para que el Prestamista pueda verificar su identidad? y la cláusula

5.4 ?Dentro de los catorce (14) siguientes a cualquier solicitud de Préstamo, el

Prestatario deberá facilitar al Prestamista sus datos bancarios mediante una copia de un

extracto o recibo reciente de su cuenta bancaria y los datos de las tarjetas de crédito o

débito en las que se deban cargar los Importes Pendientes (?)?.

También, se adjuntan Términos y condiciones aplicables a los préstamos e

Información normalizada sobre crédito al consumo.

Si bien no se aporta el DNI de la denunciante ni documentación de la cuenta

corriente (folios 51 al 111).

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la Directora de la Agencia

Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g)

en relación con el artículo 36 de la LOPD.

II

Se imputa a OK MONEY en el presente procedimiento sancionador una

infracción del artículo 6.1 de la LOPD, que determina:

?1. El tratamiento de los datos de carácter personal requerirá el consentimiento

inequívoco del afectado, salvo que la Ley disponga otra cosa?.

Por su parte en el apartado 2, del mismo artículo, se señala que:

?2. No será preciso el consentimiento cuando los datos de carácter personal se

recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el

ámbito de sus competencias; cuando se refieran a las partes de un contrato o

precontrato de una relación negocial, laboral o administrativa y sean necesarios para su

mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad

proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la

presente Ley, o cuando los datos figuren en fuentes accesibles al público y su

tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el

responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre

que no se vulneren los derechos y libertades fundamentales del interesado?.

El tratamiento de datos de carácter personal tiene que contar con el

consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen

de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

6/11

relación contractual o negocial entre el titular de los datos y el responsable del

tratamiento que sea necesaria para el mantenimiento del contrato.

El tratamiento de datos sin consentimiento de los afectados constituye un límite

al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal

Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo)

?consiste en un poder de disposición y de control sobre los datos personales que faculta

a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado

o un particular, o cuáles puede este tercero recabar, y que también permite al individuo

saber quién posee esos datos personales y para qué, pudiendo oponerse a esa

posesión o uso. Estos poderes de disposición y control sobre los datos personales, que

constituyen parte del contenido del derecho fundamental a la protección de datos se

concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso

a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o

usos posibles, por un tercero, sea el estado o un particular (...).

Son pues elementos característicos del derecho fundamental a la protección de

datos personales los derechos del afectado a consentir sobre la recogida y uso de sus

datos personales y a saber de los mismos.

OK MONEY no ha acreditado que cuente con el consentimiento inequívoco del

denunciante para el tratamiento de sus datos de carácter personal, materializado en la

vinculación con la contratación de los préstamos M.M.M. y L.L.L. (microcréditos)

concedidos el 24 y 30 de junio de 2015 por importes de 300,00 y 600,00 euros;

operación en la que se aporta contrato marco de préstamos de fecha 25 de junio de

2015, entre la empresa OK MONEY y Dña C.C.C., NIF K.K.K., TELÉFONO MÓVIL

J.J.J. y dirección de correo electrónico H.H.H., pero no consta suscrito por las partes.

En la cláusula 5.3 del mismo se indica ?Dentro de los catorce (14) siguientes a la

aceptación del Contrato, el Prestatario deberá facilitar al Prestamista copia de su

DNI/NIE para que el Prestamista pueda verificar su identidad? y la cláusula 5.4 ?Dentro

de los catorce (14) siguientes a cualquier solicitud de Préstamo, el Prestatario deberá

facilitar al Prestamista sus datos bancarios mediante una copia de un extracto o recibo

reciente de su cuenta bancaria y los datos de las tarjetas de crédito o débito en las que

se deban cargar los Importes Pendientes (?)?.

También, se adjuntan Términos y condiciones aplicables a los préstamos e

Información normalizada sobre crédito al consumo.

Si bien no se aporta el DNI de la denunciante ni documentación de la cuenta

corriente (folios 51 al 111)..

Dicho tratamiento de datos vulnera el principio de consentimiento, recogido en el

artículo 6.1 de la LOPD, por cuanto el mismo ni se realizó con el consentimiento del

denunciante, ni concurre en el supuesto examinado ninguna de las circunstancias

previstas en el artículo 6.2 de la LOPD que permitirían a OK MONEY tratar los datos de

la denunciante sin su consentimiento.

III

De acuerdo con las previsiones de la LOPD, el artículo 44.3.b) tipifica como

infracción grave ?Tratar datos de carácter personal sin recabar el consentimiento de las

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

7/11

personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta

Ley y sus disposiciones de desarrollo?.

A tenor del artículo 45.2 las infracciones graves serán sancionadas con multa de

40.001 a 300.000 euros.

OK MONEY ha incurrido en la infracción descrita ya que ha vulnerado dicho

principios, consagrados en los artículos 6.1 de la LOPD, habiendo quedado acreditado

que no existía relación contractual ya que los préstamos M.M.M. y L.L.L.

(microcréditos) concedidos el 24 y 30 de junio de 2015 por importes de 300,00 y 600,00

euros, no habían sido contratados por el denunciante y que encuentran su tipificación en

los artículos 44.3.b) de la citada Ley Orgánica.

IV

El artículo 45.2, 4 y 5 de la LOPD establece que:

"2. Las infracciones graves serán sancionadas con multa de 40.001 ? a 300.000

?

(?)

4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

a) El carácter continuado de la infracción.

b) El volumen de los tratamientos efectuados.

c) La vinculación de la actividad del infractor con la realización de tratamientos

de datos de carácter personal.

d) El volumen de negocio o actividad del infractor.

e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a

terceras personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de infracción

la entidad imputada tenía implantados procedimientos adecuados de actuación

en la recogida y tratamiento de Ios datos de carácter personal, siendo la

infracción consecuencia de una anomalía en el funcionamiento de dichos

procedimientos no debida a una falta de diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de

antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

8/11

5. El órgano sancionador establecerá la cuantía de la sanción aplicando la

escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a

aquella en que se integra la considerada en el caso de que se trate, en los siguientes

supuestos:

a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado

o de la antijuridicidad del hecho como consecuencia de la concurrencia

significativa de varios de los criterios enunciados en el apartado 4 de este

artículo.

b) Cuando la entidad infractora haya regularizado la situación irregular de forma

diligente.

c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la

comisión e la infracción.

d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

e) Cuando se haya producido un proceso de fusión por absorción y la infracción

fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente".

En el supuesto examinado, OK MONEY ha solicitado en sus alegaciones que en

el presente caso concurren circunstancias atenuantes del artículo 45.4 de la LOPD que

han de ser tenidas en cuenta a la hora de graduar la sanción a imponer.

Hay que señalar que el artículo 45.5 de la LOPD deriva del principio de

proporcionalidad de la sanción y permite establecer "la cuantía de la sanción aplicando

la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a

aquella en que se integra la considerada en el caso de que se trate", pero para ello es

necesario la concurrencia de, o bien una cualificada disminución de la culpabilidad del

imputado, o bien de la antijuridicidad del hecho, o bien de alguna otra de las

circunstancias que el mismo precepto cita.

En el presente caso, ha quedado acreditado que OK MONEY ha vulnerado el

artículo 6.1 de la LOPD, al no poder acreditar el consentimiento inequívoco del

denunciante en la contratación los préstamos M.M.M. y L.L.L. (microcréditos)

concedidos el 24 y 30 de junio de 2015 por importes de 300,00 y 600,00 euros, que ha

quedado acreditado que el denunciante no era parte del contrato de préstamo, por lo

que la actuación de OK MONEY ha de ser objeto de sanción.

OK MONEY ha invocado la concurrencia de criterios previstos en el artículo 45.4

LOPD a efectos de la graduación de la sanción a imponer.

En cuanto a la ausencia de beneficios, circunstancia prevista en el apartado e)

del artículo 45.4 no puede aceptarse puesto que su intención era precisamente la de

obtenerlos; es cierto, que el préstamo no ha podido ser reintegrado pero la entidad ha

intentado no solo el cobro del mismo, sino también de sus intereses en relación con una

persona, el denunciante, que no era el deudor.

En relación a la circunstancia prevista en el apartado f) del artículo 45.4, relativa

al grado de intencionalidad expresión que debe entenderse en el sentido del grado de

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

9/11

?culpabilidad?, esta interpretación ha sido corroborada por la Audiencia Nacional en su

sentencia de 12/11/2007 (Rec. 351/2006), señalando ?Comienza el recurrente

invocando la no intencionalidad de su conducta. (?) Cuando concurre una falta de

diligencia, como aquí acontece, existe culpabilidad y la conducta merece sin duda un

reproche sancionador sin que el hecho de que no exista actuación dolosa deba

conllevar necesariamente una disminución aún mayor de la sanción cuando ésta ha sido

impuesta en su grado mínimo?. Por tal razón, si bien es cierto que no es posible sostener

en el presente asunto que la entidad hubiera actuado intencionadamente o con dolo, hay

que señalar que el tipo apreciado no requiere dolo para su perfección, pudiendo ser

cometido a título de simple negligencia.

En cuanto a cualquier otra circunstancia que sea relevante para determinar el

grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora,

circunstancia prevista en el apartado j del artículo 45.4. Se encuentra en este apartado,

como exponente de una mayor antijuricidad y culpabilidad de la entidad imputada, el

hecho de que ?el protocolo? que OK MONEY dice tener implementado para la

identificación de los clientes que contratan con ella a través de internet ?protocolo que

describe en su respuesta al requerimiento informativo de la AEPD- es absolutamente

inconsistente, lo que implica que en la práctica carece de un mecanismo para verificar la

identidad de las personas que contratan con ella. Extremo que es especialmente

significativo si tenemos en cuenta que todas las operaciones crediticias ?que son el

objeto de su negocio- se efectúan a través de internet. Es cierto que señala OK MONEY

que a partir del 1 de enero de 2016, el sistema de proceso de solicitud de préstamo, lo

ha modificado, pero la presente denuncia es anterior a dicho cambio.

Tras las evidencias obtenidas en la fase de investigaciones previas, y sin

perjuicio de lo que resulte de la instrucción, se estima que procede graduar la sanción a

imponer de acuerdo con los siguientes criterios que establece el artículo 45.4 de la

LOPD.

Operan como circunstancias agravantes de la conducta que se enjuicia:

- El apartado a) ?El carácter continuado de la infracción? pues los datos

personales del denunciante continuaron siendo tratados a pesar de que la contratación

no ha sido acreditada.

- El apartado c) ?La vinculación de la actividad del infractor con la realización de

tratamientos de datos de carácter personal? ya que la actividad empresarial de la

denunciada exige un continuo tratamiento de datos de carácter personal tanto de

clientes como de terceros.

- El apartado f) ?El grado de intencionalidad?, puesto que aportan contrato no

firmado que dice que se deberá aportar copia del DNI y extracto bancario para

comprobar cuenta pero no aportan estos documentos.

-El apartado j) Cualquier otra circunstancia que sea relevante para determinar el

grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora. Se

encuadra en este apartado, como exponente de una mayor antijuridicidad y culpabilidad

de la entidad imputada, el hecho de que el ?protocolo? que OK MONEY dice tener

implementado para la identificación de los clientes que contratan con ella a través de

internet ?protocolo que describe en su respuesta al requerimiento informativo de la

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

10/11

AEPD- es absolutamente inconsistente, lo que implica que en la práctica carece de un

mecanismo para verificar la identidad de las personas que contratan con ella. Extremo

que es especialmente significativo si tenemos en cuenta que todas las operaciones

crediticias ?que son el objeto de su negocio- se efectúan a través de internet.

Paralelamente concurre como atenuante de la infracción del artículo 6.1 de la

LOPD que se atribuye a la denunciada la circunstancia descrita en el apartado d) del

artículo 45.4 LOPD, ?El volumen de negocio o actividad del infractor?. No estamos ante

una gran empresa, sino ante un PYME que cuenta con ocho empleados y cuyo capital

social es de 960.000 euros.

Por tanto, se establece una sanción por vulneración del artículo 6.1 de la LOPD,

en la cuantía de 50.000 euros al no haber quedado acreditado en el presente caso

ninguna de las circunstancias que permitirían la aplicación de lo dispuesto en el artículo

45.5 de la LOPD.

Vistos los preceptos citados y demás de general aplicación,

La directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad G.G.G.., por una infracción del artículo Artículo 6.1

de la LOPD de la LOPD, tipificada como grave en el artículo 44.3.b) de la LOPD, una

multa de 50.000 ?, de conformidad con lo establecido en el artículo 45.2 de la citada

LOPD.

SEGUNDO: NOTIFICAR la presente resolución a G.G.G...

TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una

vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el artículo

98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de

las Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68

del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29

de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su

ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre

de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en

caso contrario, se procederá a su recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago

voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se

encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago

será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la

redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas

fiscales, administrativas y del orden social, la presente Resolución se hará pública, una

vez haya sido notificada a los interesados. La publicación se realizará conforme a lo

previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de

Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto

en el artículo 116 del reglamento de desarrollo de la LOPD aprobado por el Real Decreto

1720/2007, de 21 diciembre.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

11/11

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la

LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley

39/2015, de 1/10, del Procedimiento Administrativo Común de las Administraciones

Públicas, los interesados podrán interponer, potestativamente, recurso de reposición

ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes

a contar desde el día siguiente a la notificación de esta resolución, o, directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la

disposición adicional cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción

Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a

la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

LIBROS Y CURSOS RELACIONADOS

Protección de datos en redes sociales. Paso a paso
Disponible

Protección de datos en redes sociales. Paso a paso

Dpto. Documentación Iberley

13.60€

12.92€

+ Información

Tratado de protección de datos personales
Disponible

Tratado de protección de datos personales

José Luis Domínguez Álvarez

29.75€

28.26€

+ Información

Derecho digital. Esquemas y casos prácticos para su estudio
Disponible

Derecho digital. Esquemas y casos prácticos para su estudio

V.V.A.A

26.35€

25.03€

+ Información

Suscripción más de 250 formularios para PYMES
Disponible

Suscripción más de 250 formularios para PYMES

Editorial Colex, S.L.

100.00€

95.00€

+ Información