Acerca de operadores lógicos
Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00239-2022 de 28 de febrero de 2023
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 50 min
Órgano: Agencia Española de Protección de Datos
Fecha: 28/02/2023
Num. Resolución: PS-00239-2022
Cuestión
1 / 20Expediente Nº: PS/00239/2022
IMI Reference: A61VMN 183387- A60DD 404884 - Case Register 180472
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes:
ANTECEDENTES
PRIMERO: A.A.A. (en adelante...
Contestacion
1/20
? Expediente Nº: PS/00239/2022
IMI Reference: A61VMN 183387- A60DD 404884 - Case Register 180472
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes:
ANTECEDENTES
PRIMERO: A.A.A. (en adelante, la parte reclamante) interpuso reclamación, con fecha 31
de marzo de 2020, ante la autoridad alemana de protección de datos de Berlín. La
reclamación se dirige contra GRUPO NORCONSULTING, S.L. con NIF B15987100 (en
adelante, NORCONSULTING). Los motivos en que basa la reclamación son los siguientes:
La parte reclamante manifiesta haber solicitado el ejercicio del derecho de acceso a sus
datos personales a NORCONSULTING, así como la posterior eliminación de éstos.
NORCONSULTING le respondió que sus datos se obtenían de redes sociales de empleo y
le indicó que su correo electrónico se iba a eliminar para que no recibiera más correos. A
esto, la parte reclamante respondió indicando que aún no le habían respondido a su solicitud
del derecho de acceso.
SEGUNDO: A través del ?Sistema de Información del Mercado Interior? (en lo sucesivo
Sistema IMI), regulado por el Reglamento (UE) nº 1024/2012, del Parlamento Europeo y del
Consejo, de 25 de octubre de 2012 (Reglamento IMI), cuyo objetivo es favorecer la
cooperación administrativa transfronteriza, la asistencia mutua entre los Estados miembros y
el intercambio de información, se transmitió la citada reclamación el día 27/11/2022 y se le
dio fecha de registro de entrada en la Agencia Española de Protección de Datos (AEPD) el
día 1/12/2022. El traslado de esta reclamación a la AEPD se realiza de conformidad con lo
establecido en el artículo 56 del Reglamento (UE) 2016/679, del Parlamento Europeo y del
Consejo, de 27/04/2016, relativo a la Protección de las Personas Físicas en lo que respecta
al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (en lo sucesivo,
RGPD), teniendo en cuenta su carácter transfronterizo y que esta Agencia es competente
para actuar como autoridad de control principal, dado que NORCONSULTING tiene su sede
social y establecimiento único en España.
Los tratamientos de datos que se llevan a cabo afectan a interesados en varios Estados
miembros. Según las informaciones incorporadas al Sistema IMI, de conformidad con lo
establecido en el artículo 60 del RGPD, actúa en calidad de ?autoridad de control
interesada?, además de la autoridad de protección de datos de Berlín (Alemania), las
autoridades de Noruega, Polonia, Estonia, Suecia, Francia, Italia, Baja Sajonia (Alemania),
Baviera- Sector Privado (Alemania), Finlandia y Dinamarca. Todas ellas en virtud del artículo
4.22.b) del RGPD, dado que los interesados que residen en el territorio de estas autoridades
de control se ven sustancialmente afectados o es probable que se vean sustancialmente
afectados por el tratamiento objeto del presente procedimiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
2/20
TERCERO: Con fecha 2 de marzo de 2021, la autoridad de Berlín compartió a través de IMI
la reclamación original y la traducción de ésta junto con la siguiente documentación aportada
por la parte reclamante:
? Copia de correo electrónico remitido a mail@***USUARIO.1 (en adelante, el email de
la parte reclamante) por ***USUARIO.2@norconsulting.de de fecha 15 de enero de 2020. El
contenido de este correo electrónico son ofertas de trabajo.
? Copia de correo electrónico remitido desde el email de la parte reclamante a
***USUARIO.2@norconsulting.de y a dpo@gnorcom.com de fecha 15 de enero de 2020. En
este correo, la parte reclamante solicita el acceso a la información del artículo 15.1 del
Reglamento General de Protección de Datos (en adelante, RGPD), y también solicita la
supresión de sus datos según el artículo 17 del RGPD, y la comunicación a los receptores
de esos datos (según el artículo 19 del RGPD) y la supresión de esos datos en los sitios en
que se hayan publicado (según el artículo 17.2 del RGPD).
? Copia de correo electrónico remitido por ***USUARIO.3@gnorconsulting.com al
email de la parte reclamante de fecha 4 de febrero de 2020. En este correo se le indica a la
parte reclamante que los datos se obtienen de redes sociales de empleo (Infojobs, LinkedIn,
Xing?) y que van a eliminar el correo electrónico de la parte reclamante para que no reciba
más ofertas.
? Copia de correo electrónico de respuesta al anterior correo remitido desde el email
de la parte reclamante a ***USUARIO.3@gnorconsulting.com de fecha 4 de febrero de 2020
indicando que esa no es una respuesta válida para responder a su solicitud de acceso
según el RGPD.
? Copia de correo electrónico remitido desde el email de la parte reclamante hacia
***USUARIO.3@gnorconsulting.com, ***USUARIO.4@norconsulting.de y
dpo@gnorcom.com de fecha 15 de marzo de 2020. En este correo, la parte reclamante
vuelve a reclamar una respuesta a su solicitud.
? Copia de correo electrónico remitido por la parte reclamante al correo
***USUARIO.5@datenschutz-berlin.de de fecha 31 de marzo de 2020 en el que solicita que
se abra un caso porque todavía no ha recibido respuesta a su ejercicio de derecho de
acceso, además de denunciar que en la página web de Norconsulting se instalan cookies sin
preguntar al usuario.
CUARTO: Con fecha 9 de junio de 2021, de conformidad con el artículo 64.3 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales (en adelante, LOPDGDD), se admitió a trámite la reclamación presentada
por la parte reclamante.
QUINTO: La Subdirección General de Inspección de Datos procedió a la realización de
actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en
virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de los
poderes otorgados en el artículo 58.1 del RGPD, y de conformidad con lo establecido en el
Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los
siguientes extremos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
3/20
En respuesta a requerimiento de esta Agencia, en fecha 14 de septiembre de 2021,
NORCONSULTING presenta, entre otra, la siguiente información:
1. Indicación de que no les consta haber recibido ninguna respuesta de la parte reclamante
al correo enviado por NORCONSULTING el día 4 de febrero de 2020 en el que se le dio
contestación a su solicitud de acceso y supresión.
2. Copia de correo electrónico remitido por ***USUARIO.3@gnorconsulting.com al email de
la parte reclamante de fecha 4 de febrero de 2020, con el siguiente contenido: ?Good
Morning A.A.A.: We are a human resources company and work with various ad platforms
(Linkedin, Infojobs, Experteer, Xing, etc.). Your contact has been obtained through these
means, in which you have surely registered and / or are registered. But, as you have no
interest in receiving job offers from us, we will proceed to delete your email from our
automated files for which this company is responsible. If at any other time you wish to
receive offers again, do not hesitate to contact us.?
EVIDENCIAS SIGNIFICATIVAS PARA LA GRADUACIÓN DE LA SANCIÓN
Vinculación de la actividad de NORCONSULTING con la realización de tratamientos de
datos de carácter personal: El desarrollo de la actividad empresarial que desempeña la
entidad requiere un tratamiento continuo de datos personales.
Volumen de negocio total anual global: Según consulta realizada en el servicio Monitoriza de
Axesor (https://monitoriza.axesor.es/) el día 6 de mayo de 2022, las ventas del GRUPO
NORCONSULTING SL fueron de 5.201.368 euros y tenía 17 empleados.
Reincidencia por comisión de infracciones de la misma naturaleza que los hechos en
cuestión: No consta que se hayan resuelto procedimientos por infracciones de
NORCONSULTING en el último año.
SEXTO: Con fecha 1/06/2022, la Directora de la AEPD adoptó un proyecto de decisión de
inicio de procedimiento sancionador. Siguiendo el proceso establecido en el artículo 60 del
RGPD, el 9/06/2022 se transmitió a través del sistema IMI este proyecto de decisión y se les
hizo saber a las autoridades interesadas que tenían cuatro semanas desde ese momento
para formular objeciones pertinentes y motivadas. Dentro del plazo a tal efecto, las
autoridades de control interesadas no presentaron objeciones pertinentes y motivadas al
respecto, por lo que se considera que todas las autoridades están de acuerdo con dicho
proyecto de decisión y están vinculadas por éste, de conformidad con lo dispuesto en el
apartado 6 del artículo 60 del RGPD. Este proyecto de decisión se notificó
a NORCONSULTING conforme a las normas establecidas en la LPACAP el
día 1/06/2022, como consta en el acuse de recibo que obra en el expediente.
SÉPTIMO: Con fecha 30/06/2022, NORCONSULTING presentó escrito de alegaciones al
proyecto de decisión.
OCTAVO: Con fecha 15/07/2022, la Directora de la Agencia Española de Protección de
Datos acordó iniciar procedimiento sancionador a NORCONSULTING a fin de imponerle una
multa de 10.000 y 5.000 euros, con arreglo a lo dispuesto en los artículos 63 y 64 de la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
4/20
LPACAP, por la presunta infracción del Artículo 15 del RGPD, tipificada en el Artículo 83.5
del RGPD, así como por la presunta infracción de Artículo 17 del RGPD, tipificada en el
Artículo 83.5 del RGPD, respectivamente, en el que se le indicaba que tenía un plazo de
diez días para presentar alegaciones.
Este acuerdo de inicio, que se notificó a NORCONSULTING conforme a las normas
establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común
de las Administraciones Públicas (LPACAP), fue recogido en fecha 21/07/2022, como consta
en el acuse de recibo que obra en el expediente.
NOVENO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la
LPACAP y transcurrido el plazo otorgado para la formulación de alegaciones, se ha
constatado que no se ha recibido alegación alguna por parte de NORCONSULTING. En la
propuesta de resolución se tuvieron en cuenta las alegaciones presentadas al proyecto de
decisión en las que NORCONSULTING, en síntesis, manifestaba que:
?PRIMERA.- En primer lugar debemos poner de manifiesto respecto a los hechos que se
recogen en el Proyecto de Decisión de Inicio de Procedimiento Sancionador, que
efectivamente en fecha 15 de enero de 2020, don A.A.A. se puso en contacto con la
Empresa, respecto a una oferta de trabajo remitida por GRUPO NORCONSULTING S.L.
para cubrir vacantes de empleo en diferentes ciudades alemanas, en las que GRUPO
NORCONSULTING S.L. cuenta con clientes que requieren de sus servicios para
proporcionar candidatos para las ofertas de empleo.
En el caso del Sr. A.A.A., los datos de contacto se obtienen por parte de GRUPO
NORCONSULTING S.L., de las empresas con las que mantiene una relación contractual,
Linkedin, Xing, Infojobs, Experteer y en base al cual permite el acceso a los datos, que
lógicamente debieron ser cedidos por el Sr. A.A.A. a las plataformas indicadas.
Tras la comunicación remitida por el Sr. A.A.A., desde GRUPO NORCONSULTING S.L. se
le ha remitido correo electrónico de fecha 4 de febrero de 2020, en el que se le indica:
?Good Morning A.A.A.:
We are a human resources company and work with various ad platforms (Linkedin, Infojobs,
Experteer, Xing, etc.).
Your contact has been obtained through these means, in which you have surely registered
and / or are registered.
But, as you have no interest in receiving job offers from us, we will proceed to delete your
email from our automated files for which this company is responsible.
If at any other time you wish to receive offers again, do not hesitate to contact us.
Best regards?
Esto es, se le informa al Sr. A.A.A., que los datos fueron obtenidos a través de las
plataformas mencionadas, y que, si no es de su interés recibir ofertas de empleo de nuestra
entidad, se procedería al borrado de sus datos.
En el relato de hechos se menciona que la parte reclamante dio respuesta al correo de 4 de
febrero de 2020, sin embargo, no le consta a GRUPO NORCONSULTING S.L. la respuesta
a la que la resolución hace referencia.
Entendemos que en este punto, GURPO NORCONSULTING S.L. ha cumplido con sus
obligaciones respecto a la normativa de protección de datos, puesto que obtiene el contacto
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
5/20
de la parte reclamante por vía contractual respecto de una plataforma o empresa que tiene
cedidos los datos del Sr. A.A.A. para cuestiones de ofertas de trabajo.
SEGUNDA.- Asimismo en el relato de hechos se recoge que el Sr. A.A.A. contacta con la
oficina de control alemana porque no se ha dado respuesta a su ejercicio de derecho de
acceso y denunciando que la web de mi representada se instalan cookies sin preguntar.
En relación al uso de cookies, consta expediente tramitado número 05473/2021, y que fue
resuelto acordando el archivo del expediente (adjuntamos copia de la Resolución por parte
de la Agencia).
Por último, reseñar que no que la parte reclamante se haya comunicado en ninguna otra
ocasión, con nuestra representada.?.
DÉCIMO: Con fecha 29/08/2022, el órgano instructor del procedimiento acordó la apertura
de un período de práctica de pruebas, teniéndose por incorporados la reclamación
interpuesta por la parte reclamante y su documentación, los documentos obtenidos y
generados por los Servicios de Inspección, el Informe de actuaciones previas de Inspección
que forman parte del expediente, así como las alegaciones al proyecto de decisión
presentadas por NORCONSULTING y la documentación que a ellas acompaña.
Ese mismo día esta Agencia envió el acuerdo de práctica de prueba a NORCONSULTING,
otorgando un plazo de 10 días hábiles para:
- Realizar prueba documental respecto a la supresión de los datos personales, por la
que se requiere a GRUPO NORCONSULTING, S.L. acreditar la completa supresión
de los datos personales de la parte reclamante y la fecha en la cual se efectuó,
según la solicitud formulada por la parte reclamante mediante correo electrónico el
15/01/2020.
Con fecha 13/09/2022, NORCONSULTING presentó escrito de respuesta ante esta Agencia,
en el que manifestaba que:
?PRIMERA.- En primer lugar debemos reseñar que en la fecha de los hechos objeto del
expediente tramitado por la Agencia de Protección de datos, GRUPO NORCONSULTING
S.L. trabajaba con un software proporcionado por la Empresa ***EMPRESA.1, que en el
período de pandemia por COVID, fue sustituido por el software (...), por lo que nuestra
representada no puede acceder a la información del citado período.
En todo caso debemos poner de manifiesto que nuestra representada, nunca contó con los
datos de la parte reclamante, sino que simplemente se realizó contacto a través de la
plataforma o red social para profesionales LINKTEAM, en la que figuraba inscrito el Sr.
A.A.A., de forma voluntaria para posibles ofertas de empleo, extremo que ya expusimos en
nuestro escrito de alegaciones previas, indicando que GRUPO NORCONSULTING S.L., a
través de las empresas con las que mantiene una relación contractual, Linkedin, Xing,
Infojobs, Experteer, a las que el Sr. A.A.A. debió ceder sus datos, obtuvo el contacto para
remitir una oferta de empleo.
La fecha en que se suprimieron los datos del Sr. A.A.A., constan en el correo electrónico de
4 de febrero de 2020, ya referenciado previamente, en el que se le indica, que como no está
interesado en recibir ofertas de empleo, se procede al borrado de su correo electrónico de
nuestras bases de datos.
?Good Morning A.A.A.:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
6/20
We are a human resources company and work with various ad platforms (Linkedin, Infojobs,
Experteer, Xing, etc.).
Your contact has been obtained through these means, in which you have surely registered
and / or are registered.
But, as you have no interest in receiving job offers from us, we will proceed to delete your
email from our automated files for which this company is responsible.
If at any other time you wish to receive offers again, do not hesitate to contact us.
Best regards?.
UNDÉCIMO: Con fecha 27/09/2022, el órgano instructor del procedimiento sancionador
formuló propuesta de resolución, en la que propone que por la Directora de la AEPD se
sancione al GRUPO NORCONSULTING, S.L., con NIF B15987100, por una infracción del
artículo 15 del RGPD, tipificada en el artículo 83.5 del RGPD, con una multa de 10.000 ?
(diez mil euros), y por una infracción del artículo 17 del RGPD, tipificada en el artículo 83.5
del RGPD, con una multa de 5.000 ? (cinco mil euros).
Esta propuesta de resolución, que se notificó a NORCONSULTING conforme a las normas
establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común
de las Administraciones Públicas (LPACAP), fue recogida en fecha 3/10/2022, como consta
en el acuse de recibo que obra en el expediente.
DUODÉCIMO: Con fecha 18/10/2022, se recibe en esta Agencia, en tiempo y forma, escrito
de NORCONSULTING en el que aduce alegaciones a la propuesta de resolución en el que,
en síntesis, manifestaba que:
?PRIMERA.- En primer lugar queremos dar por reproducidas las alegaciones efectuadas por
esta parte a lo largo de todo el procedimiento tramitado por esta Administración.
SEGUNDA.- En segundo lugar, queremos reseñar, que en la Propuesta Resolución se
indica que GRUPO NORCONSULTING S.L. únicamente procedió al borrado del correo
electrónico del reclamante, sin embargo, debemos poner de manifiesto que mi
representada una vez remitió el correo de febrero de 2020, procedió al borrado de cualquier
dato relacionado con el reclamante, ya que ningún interés tiene para mi representada el
guardado de datos de una persona que solicita su supresión.
En cualquier caso y como se había alegado, los datos de contacto se obtienen por parte de
GRUPO NORCONSULTING S.L., de una forma legítima, a través de plataformas dedicadas
a la puesta en contacto de profesionales.
Por otra parte, debemos apuntar a que los correos electrónicos posteriores, y de los que
esta parte no tiene constancia, se enviaron coincidiendo con el período en el que el
Gobierno de España decretó el Estado de Alarma por COVID y en el que la Empresa
acometió ERTES en los que la plantilla estuvo en situación temporal de desempleo, lo que
debe tenerse en cuenta respecto a la especial situación empresarial.
SEGUNDA.- Asimismo, no podemos dejar de mencionar que en la actuación de GRUPO
NORCONSULTING S.L. no hay intencionalidad alguna que merezca un reproche
sancionador, puesto que una vez ha tenido constancia de la reclamación ha procedido con
el borrado de datos, al igual que efectuó con la reclamación por el uso de cookies.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
7/20
No consta en los archivos de la Empresa ningún dato del reclamante, salvo los que se
generan por el presente expediente.?
De las actuaciones practicadas en el presente procedimiento y de la documentación obrante
en el expediente, han quedado acreditados los siguientes:
HECHOS PROBADOS
PRIMERO: El 15 de enero de 2020 fue remitido un correo electrónico a
mail@***USUARIO.1 (en adelante, el email de la parte reclamante) por
***USUARIO.2@norconsulting.de. El contenido de este correo electrónico eran ofertas de
trabajo.
SEGUNDO: El 15 de enero de 2020, desde el email de la parte reclamante se envía un
correo electrónico a ***USUARIO.2@norconsulting.de y a dpo@gnorcom.com. En este
correo, la parte reclamante solicita el acceso a la información del artículo 15.1 RGPD, y
también solicita la supresión de sus datos según el artículo 17 del RGPD, y la comunicación
a los receptores de esos datos (según el artículo 19 del RGPD) y la supresión de esos datos
en los sitios en que se hayan publicado (según el artículo 17.2 del RGPD).
TERCERO: El 4 de febrero de 2020 es remitido un correo electrónico por
***USUARIO.3@gnorconsulting.com al email de la parte reclamante, con el siguiente
contenido: ?Good Morning A.A.A.:
We are a human resources company and work with various ad platforms (Linkedin, Infojobs,
Experteer, Xing, etc.). Your contact has been obtained through these means, in which you
have surely registered and / or are registered. But, as you have no interest in receiving job
offers from us, we will proceed to delete your email from our automated files for which this
company is responsible. If at any other time you wish to receive offers again, do not hesitate
to contact us.?.
CUARTO: En respuesta al correo a que se refiere el apartado anterior, con fecha 4 de
febrero de 2020 es enviado un correo desde el email de la parte reclamante a
***USUARIO.3@gnorconsulting.com teniendo en copia a los siguientes correos:
***USUARIO.4@norconsulting.de y dpo@gnorcom.com, indicando que esa no es una
respuesta válida para responder a su solicitud de acceso, según el RGPD.
QUINTO: El 15 de marzo de 2020 es remitido desde el email de la parte reclamante un
correo electrónico hacia ***USUARIO.3@gnorconsulting.com,
***USUARIO.4@norconsulting.de y dpo@gnorcom.com. En este correo, la parte reclamante
vuelve a reclamar una respuesta a su solicitud.
SEXTO: Con fecha 31 de marzo de 2020 es remitido un correo electrónico por la parte
reclamante al correo ***USUARIO.5@datenschutz-berlin.de en el que solicita que se abra un
caso porque todavía no ha recibido respuesta a su ejercicio de derecho de acceso, además
de denunciar que en la página web de Norconsulting se instalan cookies sin preguntar al
usuario.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
8/20
FUNDAMENTOS DE DERECHO
I
Competencia y normativa aplicable
De acuerdo con lo dispuesto en los artículos 58.2 y 60 del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos (RGPD), y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 y 68.2
de la LOPDGDD es competente para iniciar y resolver este procedimiento la Directora de la
Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos tramitados
por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.?
II
Cuestiones previas
En el presente caso, de acuerdo con lo establecido en el artículo 4.1 del RGPD, consta la
realización de un tratamiento de datos personales, toda vez que NORCONSULTING realiza
la recogida y conservación de, entre otros, los siguientes datos personales de personas
físicas: correo electrónico, nombre y apellido, entre otros tratamientos.
NORCONSULTING realiza esta actividad en su condición de responsable del tratamiento,
dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del
RGPD. Además, se trata de un tratamiento transfronterizo, dado que NORCONSULTING
está establecida en España, si bien presta servicio a toda la Unión Europea.
El RGPD dispone, en su artículo 56.1, para los casos de tratamientos transfronterizos,
previstos en su artículo 4.23), en relación con la competencia de la autoridad de control
principal, que, sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del
establecimiento principal o del único establecimiento del responsable o del encargado del
tratamiento será competente para actuar como autoridad de control principal para el
tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo
al procedimiento establecido en el artículo 60. En el caso examinado, como se ha expuesto,
NORCONSULTING tiene su establecimiento principal en España, por lo que la Agencia
Española de Protección de Datos es la competente para actuar como autoridad de control
principal.
Por su parte, el artículo 15 del RGPD regula la información que puede ser solicitada
mediante el ejercicio del derecho de acceso del artículo 15 y, por otra, el artículo 17 del
RGPD regula el derecho a obtener sin dilación indebida del responsable del tratamiento la
supresión de los datos personales que conciernan al interesado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
9/20
III
Alegaciones aducidas
En relación con las alegaciones aducidas, se procede a dar respuesta a las mismas según
el orden expuesto por NORCONSULTING:
1.- Los datos de contacto se obtienen por parte de GRUPO NORCONSULTING, S.L., de las
empresas con las que mantiene una relación contractual.
No es objeto del presente procedimiento la legitimidad del tratamiento realizada por
NORCONSULTING, sino las presuntas infracciones cometidas por la inadecuada atención
del ejercicio de derechos solicitado por la parte reclamante, concretamente, el ejercicio del
derecho de acceso y el ejercicio del derecho de supresión de sus datos.
2.- Al GRUPO NORCONSULTING, S.L. no le consta el correo de 4 de febrero de 2020,
mediante el cual la parte reclamante indicaba que la contestación remitida por
NORCONSULTING no era una respuesta válida para atender a su solicitud de acceso
según el RGPD.
Tal y como se recoge en los Hechos Probados Cuarto y Quinto, constan en el expediente
los mensajes enviados por la parte reclamante con fecha 04/02/2020 y 15/03/2020. El correo
de fecha 04/02/2020 es enviado desde el correo electrónico de la parte reclamante a
***USUARIO.3@gnorconsulting.com teniendo en copia a los siguientes correos:
***USUARIO.4@norconsulting.de y dpo@gnorcom.com. El correo de 15 de marzo de 2020
es remitido desde el email de la parte reclamante a los siguientes correos:
***USUARIO.3@gnorconsulting.com, ***USUARIO.4@norconsulting.de y
dpo@gnorcom.com.
3.- En relación con el uso de cookies, consta expediente tramitado número 05473/2021, y
que fue resuelto acordando el archivo del expediente.
El expediente E/05473/2021 tuvo como causa de inicio la misma reclamación que el
presente procedimiento, sin embargo, se refiere a unos hechos distintos recogidos en dicha
reclamación, como es la no obtención del consentimiento informado para la instalación de
cookies no estrictamente necesarias y de terceros, lo que suponía un incumplimiento de lo
dispuesto en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de
la información y de comercio electrónico.
Como ya se dijo en respuesta a la alegación 1, el objeto del presente procedimiento lo
constituye la inadecuada atención de las solicitudes ejercicio de derechos, concretamente, el
ejercicio del derecho de acceso y el ejercicio del derecho de supresión de los datos de la
parte reclamante, puestas de manifiesto en la reclamación y en la documentación que la
acompaña.
En consecuencia, no puede decirse que haya coincidencia en los hechos del expediente
E/05473/2021 y del presente expediente.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
10/20
Formulada propuesta de resolución por el instructor del presente procedimiento, en el
trámite de audiencia al interesado se presentan alegaciones por parte de
NORCONSULTING a las cuales se procede a dar respuesta a continuación:
1.- NORCONSULTING procedió al borrado de cualquier dato relacionado con la parte
reclamante una vez remitió el correo de febrero de 2020.
NORCONSULTING no ha mantenido una postura clara a este respecto. Aquí se nos dice
que procedió al borrado de los datos de la parte reclamante cuando ésta remitió el correo de
febrero de 2020. En las alegaciones presentadas al acuerdo de inicio con fecha 13/09/2022,
se decía que NORCONSULTING nunca había tenido los datos de la parte reclamante
siguiente: ?? En todo caso debemos poner de manifiesto que nuestra representada, nunca
contó con los datos de la parte reclamante??. Por último, tal y como se refiere en las
alegaciones presentadas a la propuesta de resolución, se señala que los datos fueron
eliminados al tener constancia de la reclamación: ??puesto que una vez ha tenido
constancia de la reclamación ha procedido con el borrado de datos??.
NORCONSULTING no acredita haber suprimido los datos personales (nombre, apellido,
perfil profesional?) que tuviera de la parte reclamante. Además, al no haber atendido la
solicitud de ejercicio del derecho de acceso, ni aún a consecuencia del presente
procedimiento, no ha podido determinarse la totalidad de los datos personales objeto de
tratamiento. A modo de ejemplo, en el correo de fecha 15/01/2022 NORCONSULTING
propone a la parte reclamante tener una conversación telefónica acerca de sus preferencias
profesionales, pidiéndole la documentación más reciente acerca de su experiencia, no le
piden su número de teléfono, que al parecer ya tendrían.
2.- Los datos se obtienen por NORCONSULTING de forma legítima.
A esta cuestión ya se le dio respuesta en la propuesta de resolución, concretamente en el
punto segundo de contestación a las alegaciones realizadas al acuerdo de inicio. No es
objeto del presente procedimiento la legitimidad del tratamiento realizada por
NORCONSULTING, sino las presuntas infracciones cometidas por la inadecuada atención
del ejercicio de derechos solicitado por la parte reclamante, concretamente, el ejercicio del
derecho de acceso y el ejercicio del derecho de supresión de sus datos. A mayor
abundamiento, que el tratamiento fuera legítimo en un principio no es obstáculo para que la
parte reclamante ejercite sus derechos ante el responsable del tratamiento y éstos sean
atendidos de forma correcta.
3.- Los correos electrónicos posteriores, y de los que NORCONSULTING supuestamente no
tiene constancia, se enviaron coincidiendo con el período en el que el Gobierno de España
decretó el Estado de Alarma por COVID.
Al respecto, esta Agencia desea señalar que la parte reclamante reiteró su solicitud del
ejercicio del derecho de acceso el 04/02/2020, desde esa fecha hasta el inicio del estado de
alarma transcurrió más de un mes, por lo que se superó el plazo máximo que establece el
artículo 12.3 del RGPD para atender a este tipo de solicitudes. Si tenemos en cuenta la
primera solicitud, de fecha 15/01/2020, que no fue debidamente atendida, transcurrieron casi
dos meses antes del inicio del estado de alarma, por lo que hubo tiempo suficiente para
atender la citada solicitud.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
11/20
Por todo lo expuesto, se desestiman las alegaciones presentadas.
IV
Valoración de la prueba practicada
Con fecha 29/08/2022 el instructor del procedimiento acordó la realización de la práctica de
prueba documental, respecto a la seguridad de los tratamientos de datos personales objeto
del presente procedimiento. El 13/09/2022, NORCONSULTING presentó documentación,
ante la cual cabe formular las siguientes valoraciones:
1.- En la fecha de los hechos objeto del expediente, NORCONSULTING trabajaba con un
software proporcionado por la Empresa ***EMPRESA.1, que, en el período de pandemia por
COVID, fue sustituido por el software (...), por lo que NORCONSULTING alega que no
puede acceder a la información del citado período.
Al respecto, esta Agencia señala que NORCONSULTING no puede acogerse a un cambio
de software de gestión para desatender, por un lado, las obligaciones que, como
responsable de tratamiento, le atribuye el RGPD en cuanto a garantizar a los interesados la
debida atención de sus solicitudes de ejercicio de sus derechos y, por otro, las
consecuencias derivadas del incumplimiento de estas solicitudes. En el Considerando 15, el
RGPD incluso va más allá, determina que sus preceptos son vinculantes con independencia
de la tecnología utilizada, al establecer que: ?A fin de evitar que haya un grave riesgo de
elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe
depender de las técnicas utilizadas?.
2.- NORCONSULTING indica que nunca contó con los datos de la parte reclamante, sino
que simplemente realizó contacto a través de la plataforma o red social para profesionales
LINKTEAM, comunicándose en el correo remitido el 04/02/2020 a la parte reclamante la
supresión de su correo electrónico.
No obstante, el mensaje enviado por NORCONSULTING con fecha 4/02/2020 dice: ?But, as
you have no interest in receiving job offers from us, we will proceed to delete your email from
our automated files for which this company is responsable?, lo que podemos traducir como:
?Pero, al no tener interés en recibir ofertas de trabajo por nuestra parte, procederemos a
eliminar su correo electrónico de nuestros ficheros automatizados de los que esta empresa
es responsable?. Además, en el primer correo electrónico enviado por NORCONSULTING a
la parte reclamante con fecha 15/01/2020, también constan otros datos personales como el
nombre y apellidos del destinatario.
Por tanto, de conformidad con la prueba realizada, esta Agencia considera que
NORCONSULTING no ha aportado ningún medio de prueba, que permita concluir que el
correo electrónico y los demás datos personales de la parte reclamante (nombre, apellidos,
perfil profesional, preferencias en cuanto a ofertas de empleo?) haya sido eliminados de
sus ficheros automatizados. A mayor abundamiento, desconocemos la totalidad de los datos
personales de la parte reclamante que fueron objeto de tratamiento y constaban en dicho
fichero automatizado del que NORCONSULTING es responsable, al no haberse atendido el
ejercicio del derecho de acceso solicitado por la parte reclamante en el correo de fecha
15/01/2020.
V
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
12/20
Derecho de acceso del interesado
El Artículo 15 ?Derecho de acceso del interesado? del RGPD establece:
?1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de
si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de
acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán
comunicados los datos personales, en particular destinatarios en terceros países u
organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser
posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos
personales o la limitación del tratamiento de datos personales relativos al interesado, o a
oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información
disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se
refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa
sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho
tratamiento para el interesado.
2. Cuando se transfieran datos personales a un tercer país o a una organización
internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en
virtud del artículo 46 relativas a la transferencia.
3. El responsable del tratamiento facilitará una copia de los datos personales objeto de
tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el
interesado un canon razonable basado en los costes administrativos. Cuando el interesado
presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de
otro modo, la información se facilitará en un formato electrónico de uso común.
4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los
derechos y libertades de otros.?
En el presente caso, la parte reclamante, mediante correo electrónico, solicita a
NORCONSULTING, en el ejercicio del derecho de acceso del artículo 15 del RGPD, la
siguiente información sobre el tratamiento de sus datos:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
13/20
?a) Qué datos personales han sido almacenados o procesados.
b) Finalidad del tratamiento de mis datos.
c) Las categorías de datos personales.
d) Los destinatarios o categorías de destinatarios que ya reciben o recibirán sus datos;
e) La duración prevista del almacenamiento de los datos o, si esto no es posible, los criterios
para determinar esta duración;
f) la existencia de los derechos de rectificación, supresión o limitación del tratamiento de mis
datos, así como el derecho a oponerme a dicho tratamiento con arreglo al artículo 21 del
RGPD y a presentar una reclamación ante la autoridad de control competente.
g) Información sobre el origen de los datos; y
h) Si existe una toma de decisiones automatizada, incluida la elaboración de perfiles, de
conformidad con el artículo 22 del RGPD.
i) Si mis datos personales se han transferido a un tercer país o a una organización
internacional?.
La parte reclamante solicitó a NORCONSULTING el derecho de acceso a sus datos
personales y a la información referida en el párrafo anterior el 15/02/2020. Pues bien,
NORCONSULTING contesta a dicha solicitud de forma genérica, con una escueta
información en la que tan sólo se refiere a que los datos del interesado han sido obtenidos
en algún portal de empleo (Infojobs, Experteer?) con los que ellos trabajan, en alguno de
los cuales la parte reclamante estaría suscrita. Debido a que NORCONSULTING no
responde adecuadamente a la información solicitada, la parte reclamante volvió a solicitar
dicha información en correos de 04/02/2020 y 15/03/2020, aportados junto con la
reclamación, sin obtener ninguna respuesta. Los datos personales de la parte reclamante
objeto de tratamiento por NORCONSULTING son, al menos, nombre, apellidos, correo
electrónico, perfil profesional y preferencias en cuanto a ofertas de empleo.
De conformidad con las evidencias de las que se dispone en este momento de resolución de
procedimiento sancionador, se considera que los hechos conocidos son constitutivos de una
infracción, imputable a NORCONSULTING, por vulneración del artículo 15 del RGPD.
VI
Tipificación de la infracción del artículo 15 del RGPD
La citada infracción del artículo 15 del RGPD supone la comisión de las infracciones
tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica ?Condiciones generales para la
imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total
anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
(?)
b) los derechos de los interesados a tenor de los artículos 12 a 22; (...).?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83
del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley
orgánica?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
14/20
A efectos del plazo de prescripción, el artículo 72 ?Infracciones consideradas muy graves? de
la LOPDGDD indica:
1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
(?)
k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los
derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679. (?)?
VII
Sanción por la infracción del artículo 15 del RGPD
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía, de
conformidad con las evidencias de que se dispone en el presente momento de resolución de
procedimiento sancionador, se considera que procede graduar la sanción a imponer de
acuerdo con los siguientes criterios que establece el artículo 83.2 del RGPD.
Como agravante:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate,
así como el número de interesados afectados y el nivel de los daños y
perjuicios que hayan sufrido (apartado a): Por la no atención de al menos tres
solicitudes de acceso a sus datos personales, la primera con fecha
15/01/2020, que hasta la actualidad no han sido atendidas debidamente.
- Negligencia en la infracción (apartado b): La parte reclamante reiteró hasta en
dos ocasiones la solicitud de información mediante correos enviados el
04/02/2020 y el 15/03/2020, sin que obtuviese respuesta por parte de
NORCONSULTING, lo cual supone la falta de una mínima diligencia en el
cumplimiento de sus obligaciones como responsable de tratamiento de datos.
Como atenuante:
- Cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados (apartado c): En un
primer momento contestó a la parte reclamante, aunque no dio respuesta a la
información solicitada.
Asimismo, se considera que procede graduar la sanción a imponer de acuerdo con los
siguientes criterios que establece el apartado 2 del artículo 76 ?Sanciones y medidas
correctivas? de la LOPDGDD:
Como agravante:
- La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales (apartado b): NORCONSULTING es una empresa cuya
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
15/20
actividad económica es la gestión de recursos humanos, la cual conlleva un
elevado tratamiento de datos personales.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2 de la
LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el artículo 15
del RGPD, permite imponer una sanción de 10.000 ? (diez mil euros).
VIII
Imposición de medidas
Entre los poderes correctivos que dispone el artículo 58 ?Poderes? del RGPD, en el apartado
2.d) se establece que cada autoridad de control podrá ?ordenar al responsable o encargado
del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo
especificado??.
Al confirmarse la infracción, la Agencia Española de Protección de Datos ordena a
NORCONSULTING que en el plazo 30 días acredite ante esta Agencia que ha cumplido con
el ejercicio del derecho de acceso por la parte reclamante, contestando a toda la información
solicitada respecto al tratamiento de sus datos personales.
Se advierte que no atender a los requerimientos de este organismo puede ser considerado
como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como
infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior
procedimiento administrativo sancionador.
IX
Derecho de supresión («el derecho al olvido»)
El Artículo 17 ?Derecho de supresión? del RGPD establece:
?1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del
tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a
suprimir sin dilación indebida los datos personales cuando concurra alguna de las
circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron
recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el
artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro
fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no
prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al
tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
16/20
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal
establecida en el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la
sociedad de la información mencionados en el artículo 8, apartado 1.
2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo
dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo
en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables,
incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los
datos personales de la solicitud del interesado de supresión de cualquier enlace a esos
datos personales, o cualquier copia o réplica de los mismos.
3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos
impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento, o para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública de conformidad con el
artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines
estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho
indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los
objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones.?
En el presente caso, como respuesta a la supresión de los datos de la parte reclamante, el
responsable del tratamiento contesta que ha eliminado su email, nada se dice de los demás
datos personales del interesado a los que haya accedido NORCONSULTING,
independientemente de que éstos se hayan obtenido de forma legítima.
De conformidad con las evidencias de las que se dispone en este momento de resolución de
procedimiento sancionador, se considera que los hechos conocidos son constitutivos de una
infracción, imputable a NORCONSULTING, por vulneración del artículo 17 del RGPD.
X
Tipificación de la infracción del artículo 17 del RGPD
La citada infracción del artículo 17 del RGPD supone la comisión de las infracciones
tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica ?Condiciones generales para la
imposición de multas administrativas? dispone:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
17/20
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total
anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
(?)
b) los derechos de los interesados a tenor de los artículos 12 a 22; (?).?
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83
del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley
orgánica?.
A efectos del plazo de prescripción, el artículo 74 ?Infracciones consideradas leves? de la
LOPDGDD indica:
?Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente
formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento
(UE) 2016/679 y, en particular, las siguientes:
(?)
c) No atender las solicitudes de ejercicio de los derechos establecidos en los
artículos 15 a 22 del Reglamento (UE) 2016/679, salvo que resultase de aplicación lo
dispuesto en el artículo 72.1.k) de esta ley orgánica (?).?
XI
Sanción por la infracción del artículo 17 del RGPD
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía, de
conformidad con las evidencias de que se dispone en el presente momento de resolución de
procedimiento sancionador, se considera que procede graduar la sanción a imponer de
acuerdo con los siguientes criterios que establece el artículo 83.2 del RGPD.
Como agravantes:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido (apartado a): Por la no atención de la solicitud de supresión de sus
datos personales, con fecha 15/01/2020, que hasta la actualidad no ha sido atendida
debidamente.
Como atenuantes:
- Cualquier medida tomada por el responsable o encargado del tratamiento para paliar
los daños y perjuicios sufridos por los interesados (apartado c): Eliminó únicamente
el correo de la parte reclamante.
Asimismo, se considera que procede graduar la sanción a imponer de acuerdo con los
siguientes criterios que establece el apartado 2 del artículo 76 ?Sanciones y medidas
correctivas? de la LOPDGDD:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
18/20
Como agravantes:
La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales (apartado b): NORCONSULTING es una empresa cuya actividad
económica es la gestión de recursos humanos, la cual conlleva un elevado
tratamiento de datos personales.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2 de la
LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el artículo 17
del RGPD, permite imponer una sanción de 5000 ? (cinco mil euros).
XII
Imposición de medidas
Entre los poderes correctivos que dispone el artículo 58 ?Poderes? del RGPD, en el apartado
2.d) se establece que cada autoridad de control podrá ?ordenar al responsable o encargado
del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo
especificado??.
Al la infracción, la Agencia Española de Protección de Datos ordena a NORCONSULTING
que en el plazo de 30 días acredite ante esta Agencia que ha cumplido con la solicitud de
supresión de los datos personales de la parte reclamante.
Se advierte que no atender a los requerimientos de este organismo puede ser considerado
como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como
infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un ulterior
procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación
de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER al GRUPO NORCONSULTING, S.L., con NIF B15987100:
? Por una infracción del artículo 15 del RGPD, tipificada en el artículo 83.5 del RGPD,
una multa de 10.000 ? (diez mil euros).
? Por una infracción del artículo 17 del RGPD, tipificada en el artículo 83.5 del RGPD,
una multa de 5.000 ? (cinco mil euros).
SEGUNDO: ORDENAR a GRUPO NORCONSULTING, S.L., con NIF B15987100, que en el
plazo de 30 días acredite ante esta Agencia que ha cumplido con el ejercicio del derecho de
acceso por la parte reclamante, contestando a toda la información solicitada respecto al
tratamiento de sus datos personales, y que acredite ante esta Agencia que ha cumplido con
la solicitud de supresión de los datos personales de la parte reclamante.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
19/20
TERCERO: NOTIFICAR la presente resolución a GRUPO NORCONSULTING, S.L.
CUARTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una vez
que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b)
de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante LPACAP), en el plazo de pago voluntario
establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real
Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso, indicando el NIF del sancionado y el número de
procedimiento que figura en el encabezamiento de este documento, en la cuenta restringida
nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española de
Protección de Datos en la entidad bancaria CAIXABANK, S.A. En caso contrario, se
procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los
días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días
16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo
mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución
se hará pública una vez haya sido notificada a los interesados.
De acuerdo con lo establecido en el artículo 60.7 del RGPD, se informará de esta
resolución, una vez sea firme, a las autoridades de control interesadas y al Comité Europeo
de Protección de Datos.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de
la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día
siguiente a la notificación de esta resolución o directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con
arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta
de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa,
en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto,
según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta
su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el
interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia
Española de Protección de Datos, presentándolo a través del Registro Electrónico de la
Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los
restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre.
También deberá trasladar a la Agencia la documentación que acredite la interposición
efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es
20/20
siguiente a la notificación de la presente resolución, daría por finalizada la suspensión
cautelar.
938-120722
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeaepd.gob.es