Última revisión
Resolución de la Agencia Española de Protección de Datos PS-00243-2018 de 06 de octubre de 2018
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 06/10/2018
Num. Resolución: PS-00243-2018
Cuestión
Sector:1 / 15
Procedimiento Nº PS/00243/2018
RESOLUCIÓN: R/01665/2018
En el procedimiento sancionador PS/00243/2018, instruido por la Agencia Española de
Protección de Datos a la entidad COMMCENTER, S.A. , vista la denuncia presentada
por A.A.A. , y en base a los siguientes
ANTECEDENTES
PRIMERO...
Contestacion
1/15
Procedimiento Nº PS/00243/2018
RESOLUCIÓN: R/01665/2018
En el procedimiento sancionador PS/00243/2018, instruido por la Agencia Española de
Protección de Datos a la entidad COMMCENTER, S.A., vista la denuncia presentada
por A.A.A., y en base a los siguientes
ANTECEDENTES
PRIMERO: El 13/02/2018 tiene entrada en esta Agencia escrito de D. A.A.A. (en lo
sucesivo el denunciante), en el que denuncia a COMMCENTER, S.A. (en lo sucesivo
COMMCENTER), por lo siguientes hechos: está recibiendo en su cuenta de correo
"***EMAIL.1", contratos de financiación con los datos de los contratantes: Nombres,
Domicilios, Teléfonos, Estado civil, Familiares a cargo, Ingresos, Situación laboral,
Nombres de las Empresas donde trabajan, Cargos, Antigüedad, Números de Cuentas
Corrientes, Importes financiados, mensualidades y la firma del contratante. Entre las
personas de las que recibido sus contratos hay funcionarios, autónomos, jubilados,
etc.
Y, entre otra, anexa la siguiente documentación:
? Copia de las solicitudes de financiación recibidos en su cuenta de correo electrónico.
SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por
los Servicios de Inspección de esta Agencia se solicita información a la entidad
COMMCENTER, teniendo conocimiento de que:
1. El denunciante aporta copia de 13 solicitudes de financiación de productos de
distintos clientes con la entidad TELEFÓNICA CONSUMER FINANCE, SAU (en lo
sucesivo TELEFÓNICA CONSUMER FINANCE), que manifiesta haber recibido en
su cuenta de correo ***EMAIL.1, en las que consta los siguientes datos en cada
una de ellas:
? Datos personales del titular: Nombre, apellidos, NIF, domicilio, teléfono fijo,
teléfono móvil, dirección de correo electrónico, sexo, estado civil, fecha de
nacimiento, situación laboral, profesión, fecha de nacimiento, cargo, ingresos,
nombre de la empresa, antigüedad y teléfono de las empresas.
En todas las solicitudes figura como dirección de correo electrónico del cliente
***EMAIL.1.
? Datos de la compra: Consta entre otros, el nombre del establecimiento TELYCO
con domicilio en Santo Domingo, 64, Ourense.
? Datos económicos y condiciones del préstamo.
? Cuenta de domiciliación bancaria
? Firma del solicitante.
2. El día 16/05/2018 se realizó una visita de inspección en el establecimiento de
COMMCENTER sito en Santo Domingo, 64, Ourense, poniéndose de manifiesto
los siguientes hechos durante el desarrollo de la inspección:
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
2/15
2.1. COMMCENTER es distribuidor oficial y exclusivo de MOVISTAR, entidad con
la que tiene suscritos los correspondientes contratos para la realización de dichos
servicios.
2.2. Los clientes que adquieren productos en la tienda tienen la opción de financiar
su compra, financiación que se realiza a través de TELEFÓNICA CONSUMER
FINANCE, entidad con la que COMMCENTER ha suscrito los correspondientes
contratos de prestación de servicios.
2.3. Para la realización de la operación financiera COMMCENTER dispone de una
aplicación WEB facilitada por TELEFÓNICA CONSUMER FINANCE, a través de la
cual se gestionan las solicitudes. El acceso a dicha aplicación requiere la
introducción de un código de usuario y una contraseña que es único para cada
tienda y compartido por todos los empleados de la misma tienda.
2.4. Se verifica que la aplicación solicita unos datos iniciales relativos al producto a
financiar, posteriormente solicita la introducción de datos económicos y a
continuación se solicitan datos personales del solicitante.
Entre los datos personales solicitados por la aplicación de gestión de solicitudes de
financiación, se incluye la dirección de correo electrónico, dato es obligatorio para
poder continuar con la operación, ya que es la dirección electrónica a la que se
envía copia del contrato de financiación y las condiciones generales.
2.5. El empleado de COMMCENTER manifiesta que desconocen el motivo por el
que en dichas solicitudes de financiación aparece la dirección de correo electrónico
***EMAIL.1. Manifiesta que cuando un cliente no dispone de dirección de correo
electrónico y no desea una de nueva creación en el terminal adquirido, se le
informa de que no es posible continuar con la operación.
2.6. Los inspectores comprobaron que en el fichero de facturación COMMCENTER
figuraba la factura de compra de cada una de las solicitudes de financiación
aportadas por el denunciante, excepto una de ellas, debido, según
manifestaciones del empleado a que posiblemente le fue denegada la financiación.
TERCERO: Con fecha 12/06/2018, la Directora de la Agencia Española de Protección
de Datos acordó iniciar, procedimiento sancionador a COMMCENTER por presunta
infracción del artículo 9.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como
grave en el artículo 44.3.d) de dicha norma, pudiendo ser sancionada con multa de
40.001 a 300.000 euros, de acuerdo con el artículo 45.2 de dicha Ley Orgánica.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
3/15
CUARTO: Notificado el acuerdo de inicio, COMMCENTER mediante escrito de fecha
19/06/2018 formuló en síntesis las siguientes alegaciones: que lo realmente
acontecido se debe que a la hora de rellenar el formulario de solicitud de financiación
una de sus trabajadoras ha rellenado el campo de la dirección de email genéricamente
con el correo electrónico ***EMAIL.1 que pertenecía al denunciante sin que la misma
tuviera constancia de este hecho, no pudiendo dicho error ser imputable a la entidad;
que existe otra causa de exoneración de responsabilidad como es que la denunciada
utiliza un sistema para rellenar el formulario de solicitud de financiación que le ha sido
otorgado por la propia financiera, es decir, COMMCENTER no influye en su diseño ni
en su gestión; que la entidad cumple escrupulosamente con la normativa sobre
protección de datos por lo que no debería ser sancionada por el hecho de verse
inmersa en un error fortuito fruto de un error humano y un error del sistema de alta de
solicitudes de financiación que es ajeno a la empresa y que ha implantado nuevos
procedimientos que evitaran que lo acontecido vuelva a suceder.
QUINTO: Con fecha 05/07/2018 se inició el período de práctica de pruebas,
acodándose:
Incorporar al expediente del procedimiento arriba indicado, y por tanto dar por
reproducida a efectos probatorios, la documentación recabada en las
actuaciones previas de inspección que forman parte del expediente
E/00800/2018.
Asimismo, se dan por reproducidas a efectos probatorios, las alegaciones al
acuerdo de inicio del procedimiento PS/00244/2018 presentadas por
COMMCENTER.
Solicitar al denunciante copia la documentación que obre en su poder relativa
al procedimiento sancionador que por cualquier motivo no hubieran sido
aportadas en el momento de la denuncia o, si lo estima oportuno, cualquier otra
manifestación en relación con los hechos denunciados.
El denunciante respondió el 01/08/2018 a la prueba practicada cuyo contenido
obra en el expediente.
SEXTO: En fecha 05/09/2018, fue emitida Propuesta de Resolución en el sentido de
que por la Directora de la Agencia Española de Protección de Datos se sancionara a
COMMCENTER por infracción del artículo 9.1 de la LOPD, tipificada como grave en el
artículo 44.3.h) de dicha norma, con multa de 40.001 ? (cuarenta mil un euro) de
conformidad con lo establecido en el artículo 45.2 de la citada Ley Orgánica.
Asimismo, se advertía sobre el derecho a obtener copia de los documentos contenidos
en el expediente.
En fecha 27/09/2018 la representación de COMMCENTER presentó escrito de
alegaciones a la Propuesta de Resolución, prácticamente reiterando lo formulado al
acuerdo de inicio.
HECHOS PROBADOS
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
4/15
PRIMERO. El 13/02/2018 tiene entrada en la AEPD escrito del afectado denunciando
la recepción en su cuenta de correo ***EMAIL.1 de contratos de financiación de
productos con TELEFÓNICA CONSUMER, en los que figuran datos de carácter
personal relativos a terceros, entre los que se encuentran funcionarios, autónomos,
jubilados, etc.
SEGUNDO. Consta aportada copia del DNI del denunciante nº ***DNI.1
TERCERO. El denunciante ha aportado copia de trece solicitudes de financiación de
productos de distintos clientes con TELEFÓNICA CONSUMER, recibidos en su cuenta
de correo ***EMAIL.1, en los que constan los datos personales de los solicitantes, el
nombre del establecimiento en que se adquieren los productos (COMMCENTER), los
datos económicos, las condiciones del préstamo, cuentas de domiciliación bancaria,
firma de los solicitantes, etc.
CUARTO. El 14/03/2018 el denunciante ha aportado las cabeceras de todos los emails
recibidos en la dirección de correo electrónico ***EMAIL.1.
QUINTO. EL denunciante en escrito de 24/07/2018 ha aportado nuevo e-mail de fecha
04/04/2018, con su cabecera correspondiente, recibido en su dirección de correo
electrónico ***EMAIL.1 relativa a una nueva solicitud-contrato de financiación en
establecimiento de COMMCENTER.
SEXTO. En el Acta de Inspección E/00800/0218/I-01 realizada por los Servicios de
Inspección de esta Agencia en el establecimiento de COMMCENTER el 16/05/2018,
se señala lo siguiente:
?1. Los inspectores comunican al representante de COMMCENTER que su visita tiene
relación con la denuncia presentada en la Agencia Española de Protección de Datos.
2. El representante de COMMCENTER realiza las siguientes manifestaciones en
respuesta a las cuestiones planteadas por los inspectores:
2.1 COMMCENTER es distribuidor oficial y exclusivo de MOVISTAR, entidad
con la que tiene suscritos los correspondientes contratos para la realización de
dichos servicios.
2.2. Los clientes que adquieren productos en la tienda tienen la opción de
financiar su compra, financiación que se realiza a través de TELEFÓNICA
CONSUMER FINANCE SAU, entidad con la que COMMCENTER ha suscrito
los correspondientes contratos de prestación de servicios. Los inspectores de
la Agencia solicitan al representante de COMMCENTER copia de dichos
contratos, manifestando que los mismos se encuentran en los servicios
centrales.
2.3. Para la realización de la operación financiera COMMCENTER dispone de
una aplicación WEB facilitada por TELEFÓNICA CONSUMER FINANCE SAU,
a través de la cual se gestionan las solicitudes. El acceso a dicha aplicación
requiere la introducción de un código de usuario y una contraseña que es único
para cada tienda y compartido por todos los empleados de la misma tienda.
3. Los inspectores de la Agencia realizan las siguientes comprobaciones:
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
5/15
3.1. Desde el puesto de trabajo de una de las empleadas se realiza el
seguimiento de una simulación de una operación de financiación para la
renovación de un terminal.
3.2. Se comprueba que para proceder a la realización de la operación la
empleada escanea el documento de identidad del cliente, que se introduce en
el sistema informático.
3.3. Posteriormente, se accede a la aplicación WEB denominada
?CONSUMER FINANCE? la cual solicita la introducción de un código de
establecimiento y una clave de acceso.
3.4. Se verifica que la aplicación solicita unos datos iniciales relativos al
producto a financiar, posteriormente solicita la introducción de datos
económicos y a continuación se solicitan datos personales del solicitante.
3.5. Se verifica que entre los datos personales solicitados se incluye la
dirección de correo electrónico y que la introducción de dicho dato es
obligatorio para poder continuar con la operación. El representante de
COMMCENTER manifiesta que dicho campo es obligatorio para poder finalizar
la operación, ya que es la dirección electrónica a la que se envía copia del
contrato de financiación y las condiciones generales.
En respuesta a la pregunta de los inspectores, el representante de
COMMCENTER manifiesta que cuando un cliente no tiene dirección de correo
electrónico se le crea una nueva en el terminal que compra.
Se adjunta como documento número 1 impresiones de pantalla de las
comprobaciones realizadas.
4. Los inspectores de la Agencia muestran al representante de COMMCENTER copia
de 13 solicitudes de contrato en las que consta que han sido realizadas en el
establecimiento en el que se lleva a cabo la presente inspección, que se adjuntan
como documento número 2. El representante de COMMCENTER realiza las
siguientes manifestaciones en respuesta a las preguntas formuladas por los
inspectores:
4.1. Desconocen el motivo por el que en dichas solicitudes de financiación
aparece la dirección de correo electrónico ***EMAIL.1. Cuando un cliente no
dispone de dirección de correo electrónico y no desea una de nueva creación
en el terminal adquirido, se le informa de que no es posible continuar con la
operación.
5. Los inspectores de la Agencia solicitan al representante de COMMCENTER
confirmación de la realización de las operaciones que aparecen en los documentos
mostrados. El representante del COMMCENTER accede al fichero de facturación de
COMMCENTER, comprobando que aparecen facturadas en COMMCENTER todas las
operaciones mostradas en el documento número 2 excepto una correspondiente al de
4 de diciembre, que según manifiesta el representante de COMMCENTER puede ser
debido a que no se le aprobó la financiación.
Se adjunta como documento número 3 copia impresa de las facturas emitidas.
6. A requerimiento de los inspectores, el representante de COMMCENTER entrega
copia del documento ?MANUAL CONSUMER FINANCETCE?, que se adjunta como
documento número 4.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
6/15
7. Los inspectores de la Agencia recaban la documentación mencionada, que se
entrega voluntaria y libremente por el inspeccionado a requerimiento de los
inspectores.
(?)
SEPTIMO. COMMCENTER en escrito de 16/05/2018 ha aportado el contrato suscrito
para la prestación del servicio de gestión de solicitudes de financiación que fue
concertado el 10/11/2011 entre TELEFONICA MOVILES DE ESPAÑA, S.A. y
FINCONSUM, EFC, S.A. Contiene cláusula OCTAVA relativa a Confidencialidad y
Protección de Datos.
OCTAVO. COMMCENTER en escrito de 19/06/2018 reconoce que ?A la vista de la
denuncia e investigación llevada a cabo por parte de la AEPD todo apunta a que lo
realmente acontecido es que, a la hora de rellenar en el formulario de solicitud de
financiación de algunos clientes, una de sus trabajadoras, ?, ha rellenado el campo
de la dirección de email genéricamente con el correo electrónico ***EMAIL.1.
Una cuenta que la trabajadora podría creer inexistente, al referirse a la provincia
donde se encuentra sita la tienda desde la que operaba con la única intención de no
ver bloqueado con el procedimiento de financiación pero que realmente pertenecía al
denunciante sin que se tuviese constancia al respecto?.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g)
en relación con el artículo 36 de la LOPD.
II
Se imputa a la entidad COMMCENTER la vulneración del principio de
seguridad de los datos personales, establecido en el artículo 9.1 de la LOPD.
El artículo 7 del Convenio Nº108 del Consejo de Europa, para la protección de
las personas con respecto al tratamiento automatizado de datos de carácter personal,
establece:
?Seguridad de los datos:
Se tomarán medidas de seguridad apropiadas para la protección de datos de
carácter personal registrados en ficheros automatizados contra la destrucción
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
7/15
accidental o no autorizada, o la pérdida accidental, así como contra el acceso, la
modificación o la difusión no autorizados?.
El Art 17.1 de la Directiva 95/46/CE relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos, establece:
?Seguridad del tratamiento:
1. Los Estados miembros establecerán la obligación del responsable del
tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la
protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida
accidental y contra la alteración, la difusión o el acceso no autorizados, en particular
cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra
cualquier otro tratamiento ilícito de datos personales. Dichas medidas deberán
garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su
aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el
tratamiento y con la naturaleza de los datos que deban protegerse?
Por otra parte, la LOPD, traspuso al ordenamiento interno el contenido de la
Directiva 95/46. En el artículo 9 de la citada LOPD se dispone lo siguiente:
?1. El responsable del fichero, y, en su caso, el encargado del tratamiento,
deberán adoptar las medidas de índole técnica y organizativas necesarias que
garanticen la seguridad de los datos de carácter personal y eviten la alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las
condiciones que se determinen por vía reglamentaria con respecto a su integridad y
seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y
programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban
reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que
se refiere el artículo 7 de esta Ley?.
El citado artículo 9 de la LOPD establece el ?principio de seguridad de los
datos? imponiendo la obligación de adoptar las medidas de índole técnica y
organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen
como finalidad evitar, entre otros aspectos, el ?acceso no autorizado? por parte de
terceros.
Para poder delimitar cuáles sean los accesos que la Ley pretende evitar
exigiendo las pertinentes medidas de seguridad es preciso acudir a las definiciones de
?fichero? y ?tratamiento? contenidas en la LOPD.
En lo que respecta al concepto de ?fichero? el artículo 3.b) de la LOPD lo define
como ?todo conjunto organizado de datos de carácter personal?, con independencia de
la modalidad de acceso al mismo.
Por su parte el artículo 3.c) de la citada Ley Orgánica considera tratamiento de
datos cualquier operación o procedimiento técnico que permita, en lo que se refiere al
objeto del presente procedimiento, la ?comunicación? o ?consulta? de los datos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
8/15
personales tanto si las operaciones o procedimientos de acceso a los datos son
automatizados o no.
Y el artículo 3.a) de dicha Ley añade que se entenderá por datos de carácter
personal ?cualquier información concerniente a personas físicas identificadas o
identificables?.
En este mismo sentido se pronuncia el artículo 2 a) de la Directiva 95/46/CE del
Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las
Personas Físicas en lo que respecta al tratamiento de datos profesionales y a la libre
circulación de estos datos, que dispone ?toda información sobre una persona física
identificada o identificable (el «interesado»); se considerará identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, en particular mediante
un número de identificación o uno o varios elementos específicos, característicos de
su identidad física, fisiológica, psíquica, económica, cultural o social?.
Para completar el sistema de protección en lo que a la seguridad afecta, el
artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros
?...que contengan datos de carácter personal sin las debidas condiciones de seguridad
que por vía reglamentaria se determinen?.
Sintetizando las previsiones legales puede afirmarse que:
a) Las operaciones y procedimientos técnicos automatizados o no, que
permitan el acceso, ?la comunicación o consulta- de datos personales, es un
tratamiento sometido a las exigencias de la LOPD.
b) Los ficheros que contengan un conjunto organizado de datos de carácter
personal así como el acceso a los mismos, cualquiera que sea la forma o
modalidad en que se produzca están, también, sujetos a la LOPD.
c) La LOPD impone al responsable del fichero la adopción de medidas de
seguridad, cuyo detalle se remite a normas reglamentarias, que eviten accesos
no autorizados.
d) El mantenimiento de ficheros carentes de medidas de seguridad que
permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o
modalidad de éstos, constituye una infracción tipificada como grave.
Las medidas de seguridad se clasifican en atención a la naturaleza de la
información tratada, esto es, en relación con la mayor o menor necesidad de
garantizar la confidencialidad y la integridad de la misma. Dichas medidas, en el caso
que nos ocupa, deben salvaguardar la confidencialidad y seguridad de los datos de
carácter personal recabados por COMMCENTER, correspondiendo adoptar las
calificadas de nivel básico, en atención al tipo de información básica que contiene, tal
como se especifica en el artículo 80 del RD 1720/2007, de 21 de diciembre, por el que
se aprueba el Reglamento de desarrollo de la LOPD.
Las medidas de seguridad de nivel básico están reguladas en los artículos 89 a
94, las de nivel medio se regulan en los artículos 95 a 100 y las medidas de seguridad
de nivel alto se regulan en los artículos 101 a 104, del Reglamento de desarrollo de la
LOPD.
El artículo 93 del citado Reglamento, aplicable a todos los ficheros y
tratamientos automatizados, establece:
?Artículo 93. Identificación y autenticación.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
9/15
1. El responsable del fichero o tratamiento deberá adoptar las medidas que
garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que
permita la identificación de forma inequívoca y personalizada de todo aquel usuario
que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de
contraseñas existirá un procedimiento de asignación, distribución y almacenamiento
que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso
será superior a un año, con la que tienen que ser cambiadas las contraseñas que,
mientras estén vigentes, se almacenarán de forma ininteligible?.
También, el artículo 5.2.b) del Reglamento de desarrollo de la LOPD define la
autenticación como el procedimiento de comprobación de la identidad de un usuario; el
mismo artículo, letra h), define la identificación como el procedimiento de
reconocimiento de la identidad de un usuario; corresponde al responsable del fichero o
tratamiento comprobar la existencia de la autorización exigida en el citado artículo 91,
con un proceso de verificación de la identidad de la persona (autenticación)
implantando un mecanismo que permita acceder a datos o recursos en función de la
identificación ya autenticada. Cada identidad personal deberá estar asociada con un
perfil de seguridad, roles y permisos concedidos por el responsable del fichero o
tratamiento.
En definitiva, COMMCENTER estaba obligada a adoptar, de manera efectiva,
las medidas técnicas y organizativas previstas para los ficheros de la naturaleza
indicada y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de
terceros a los datos personales que constan en sus ficheros. En este caso, sin
embargo, ha quedado acreditado que la citada entidad incumplió esta obligación,
como lo acredita que las solicitudes de financiación y demás documentos fueran
remitidos a la dirección de correo electrónico del denunciante, lo que demuestra que la
aplicación implantada para la recogida de datos de carácter personal era defectuosa y
no cumplía los requisitos técnicos y de seguridad requeridos.
Por tanto, el mecanismo contenido en los sistemas de la entidad, no cumplía
las exigencias contenidas en los artículos antes reseñados sobre control de accesos,
identificación y autenticación de usuarios, por cuanto que la aplicación web a través de
la cual se gestionaban las solicitudes de financiación requería la introducción de una
serie de datos, entre los que se incluía la dirección de correo electrónico, dato
obligatorio para poder continuar con las operaciones ya que era la dirección
electrónica a la que se enviaba la copia del contrato de financiación y las condiciones
generales; sin embargo, dichos documentos fueron enviados a la dirección
***EMAIL.1 perteneciente al denunciante.
Además, los propios representantes de la entidad a pregunta de los inspectores
señalaron que cuando un cliente carecía de dirección de correo electrónico se le
creaba una nueva en el terminal que compra ya que en caso contrario no era posible
continuar con la operación de financiación.
La representación de la entidad ha reconocido en escrito de 19/06/2018 que ?A
la vista de la denuncia e investigación llevada a cabo por parte de la AEPD todo
apunta a que lo realmente acontecido es que, a la hora de rellenar en el formulario de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
10/15
solicitud de financiación de algunos clientes, una de sus trabajadoras, ?, ha rellenado
el campo de la dirección de email genéricamente con el correo electrónico ***EMAIL.1.
Una cuenta que la trabajadora podría creer inexistente, al referirse a la
provincia donde se encuentra sita la tienda desde la que operaba con la única
intención de no ver bloqueado con el procedimiento de financiación pero que
realmente pertenecía al denunciante sin que se tuviese constancia al respecto?.
En consecuencia, se considera que la entidad COMMCENTER ha incurrido en
la infracción grave descrita.
III
Por otra parte, en esta materia se impone una obligación de resultado, que
conlleva la exigencia de que las medidas implantadas deben impedir, de forma
efectiva, el acceso a la información por parte de terceros. Esta necesidad de especial
diligencia en la custodia de la información por el responsable ha sido puesta de relieve
por la Audiencia Nacional, en su Sentencia de 11/12/08 (recurso 36/08), fundamento
cuarto: ?Como ha dicho esta Sala en múltiples sentencias?se impone, en
consecuencia, una obligación de resultado, consistente en que se adoptan las
medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en
manos de terceros?la recurrente es, por disposición legal una deudora de seguridad
en materia de datos, y por tanto debe dar una explicación adecuada y razonable de
cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación
por parte de terceros, siendo insuficiente con acreditar que adopta una serie de
medidas, pues es también responsable de que las mismas se cumplan y se ejecuten
con rigor?.
Y en cuanto a la ausencia de culpabilidad alegada por la representación de la
denunciada hay que señalar que el principio de culpabilidad es exigido en el
procedimiento sancionador y así la STC 246/1991 considera inadmisible en el ámbito
del Derecho administrativo sancionador una responsabilidad sin culpa. Pero el
principio de culpa no implica que sólo pueda sancionarse una actuación intencionada y
a este respecto el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común,
dispone ?sólo podrán ser sancionadas por hechos constitutivos de infracción
administrativa las personas físicas y jurídicas que resulten responsables de los
mismos aun a título de simple inobservancia.?
El Tribunal Supremo (STS 16 de abril de 1991 y STS 22 de abril de 1991)
considera que del elemento culpabilista se desprende ?que la acción u omisión,
calificada de infracción sancionable administrativamente, ha de ser, en todo caso,
imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable?. El
mismo Tribunal razona que ?no basta...para la exculpación frente a un comportamiento
típicamente antijurídico la invocación de la ausencia de culpa? sino que es preciso
?que se ha empleado la diligencia que era exigible por quien aduce su inexistencia.?
(STS 23 de enero de 1998).
Esta necesidad de especial diligencia en la custodia de la información por el
responsable ha sido puesta de relieve por la Audiencia Nacional, en su Sentencia de
11/12/08 (recurso 36/08), fundamento cuarto: ?Como ha dicho esta Sala en múltiples
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
11/15
sentencias?se impone, en consecuencia, una obligación de resultado, consistente en
que se adoptan las medidas necesarias para evitar que los datos se pierdan, extravíen
o acaben en manos de terceros?la recurrente es, por disposición legal una deudora
de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y
razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de
recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una
serie de medidas, pues es también responsable de que las mismas se cumplan y se
ejecuten con rigor?.
Por tanto, a la luz de lo señalado anteriormente la entidad ha adolecido de falta
de diligencia como lo demuestra que los procedimientos y protocolos de actuación
devinieran ineficaces e incongruentes y el que los propios representantes de la entidad
desconocieran el motivo por el que las solicitudes de financiación se remitieran a la
dirección de correo electrónico ***EMAIL.1 titularidad del denunciante y que se espera
que con las nuevas medidas implantadas por la entidad lo acontecido no vuelva a
suceder en el futuro.
IV
El artículo 44.3.h) de la LOPD, considera infracción grave:
?Mantener los ficheros, locales, programas o equipos que contengan datos de
carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria
se determinen?.
Dado que ha existido vulneración del ?principio de seguridad de los datos?,
recogido en el artículo 9 de la LOPD, se considera que COMMCENTER ha incurrido
en la infracción grave descrita.
V
El artículo 45.2, 4 y 5 de la LOPD establece que:
"2. Las infracciones graves serán sancionadas con multa de 40.001 ? a
300.000 ?
(?)
4. La cuantía de las sanciones se graduará atendiendo a los siguientes
criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos
de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a
terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de
infracción la entidad imputada tenía implantados procedimientos adecuados de
actuación en la recogida y tratamiento de Ios datos de carácter personal,
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
12/15
siendo la infracción consecuencia de una anomalía en el funcionamiento de
dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la
escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los siguientes
supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del
imputado o de la antijuridicidad del hecho como consecuencia de la
concurrencia significativa de varios de los criterios enunciados en el apartado 4
de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de
forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a
la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la
infracción fuese anterior a dicho proceso, no siendo imputable a la entidad
absorbente".
COMMCENTER ha solicitado la exoneración de responsabilidad y
subsidiariamente imposición de una sanción en grado mínimo, aplicando la escala
relativa a la clase de infracciones que precede inmediatamente en gravedad a aquella
en la que se integra la considerada en el presente caso, de conformidad con el artículo
45.5.d) de la LOPD.
Hay que señalar que el citado apartado 45.5 de la LOPD deriva del principio de
proporcionalidad de la sanción y permite establecer "la cuantía de la sanción aplicando
la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad
a aquella en que se integra la considerada en el caso de que se trate", pero para ello
es necesario la concurrencia de, o bien una cualificada disminución de la culpabilidad
del imputado, o bien de la antijuridicidad del hecho, o bien de alguna otra de las
circunstancias que el mismo precepto cita.
En cuanto a la aplicación de lo dispuesto en el artículo 45.5 de la LOPD, la
Sentencia de 21/01/2004 de la Audiencia Nacional, en su recurso 1939/2001, señaló
que dicho precepto ??no es sino manifestación del llamado principio de
proporcionalidad (artículo 131.1 de la LRJPAC), incluido en el más general de la
prohibición de exceso, reconocido por la jurisprudencia como principio general del
Derecho. Ahora bien, la presente regla debe aplicarse con exquisita ponderación y
sólo en los casos en los que la culpabilidad y la antijuridicidad resulten
sustancialmente atenuadas, atendidas las circunstancias del caso concreto. Lo cual
insistimos puede darse, por excepción, en casos muy extremos (de aquí la expresión
?especialmente cualificada?) y concretos?.
En el presente caso, tanto de las actuaciones practicadas como de la
documentación aportada al expediente, ha quedado acreditado que COMMCENTER
vulneró el artículo 9.1 de la LOPD, en relación con los artículos 93 del RLOPD, al no
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
13/15
adoptar las medidas técnicas y organizativas necesarias previstas, entre ellas, la
adopción de medidas específicamente destinadas a impedir el acceso no autorizado
por parte de terceros a los datos personales de sus ficheros, como lo acredita que las
solicitudes de financiación y demás documentos fueran remitidos a la dirección de
correo electrónico del denunciante, demostrando que la aplicación implantada era
defectuosa y no cumplía los requisitos técnicos y de seguridad requeridos, por lo que
su actuación ha de ser objeto de sanción..
La propia entidad, como consta en el hecho probado octavo, ha reconocido que
?A la vista de la denuncia e investigación llevada a cabo por parte de la AEPD todo
apunta a que lo realmente acontecido es que, a la hora de rellenar en el formulario de
solicitud de financiación de algunos clientes, una de sus trabajadoras, ?, ha rellenado
el campo de la dirección de email genéricamente con el correo electrónico ***EMAIL.1.
Una cuenta que la trabajadora podría creer inexistente, al referirse a la provincia
donde se encuentra sita la tienda desde la que operaba con la única intención de no
ver bloqueado con el procedimiento de financiación pero que realmente pertenecía al
denunciante sin que se tuviese constancia al respecto?.
Por tanto, no se dan las citadas circunstancias señaladas lo que impide
apreciar la existencia de motivos para la aplicación de la facultad contemplada en el
artículo 45.5, debido, por un lado, no obra en el expediente ningún elemento que lleve
a apreciar la concurrencia de alguna de las circunstancias previstas en los apartados
a) b), c), d) y e) del referido artículo y, por otro, a la especial diligencia y conocimiento
de la normativa de protección de datos que se ha de exigir a las entidades
profesionales cuando, como ocurre con la entidad imputada, el tratamiento de datos
personales constituye parte habitual y esencial de su actividad. Las empresas que por
su actividad están habituadas al tratamiento de datos personales deben ser
especialmente diligentes y cuidadosas al realizar operaciones con ellos y deben optar
siempre por la interpretación más favorable a la salvaguarda del derecho fundamental
a la protección de datos (como de forma reiterada sostiene la Audiencia Nacional,
entre otras en Sentencia de 26 de noviembre de 2008).
Por otra parte, en relación con los criterios de graduación de las sanciones que
contempla el artículo 45.4 de la LOPD, se aprecia la concurrencia de las siguientes
circunstancias agravantes:
- El apartado a) ?El carácter continuado de la infracción?, puesto que los datos
de carácter personal que el denunciante fue recibiendo en su cuenta de correo tuvo
lugar desde septiembre de 2017 hasta abril de 2018 (último correo aportado por el
denunciante)
- El apartado b) ?El volumen de los tratamientos efectuados?, la información
aportada acredita hasta 14 solicitudes de financiación remitida por la oficina de
COMMCENTER al denunciante.
- El apartado c) ?La vinculación de la actividad del infractor con la realización
de tratamientos de datos de carácter personal?, ya que la actividad de la denunciada
exige un tratamiento de datos de carácter personal tanto de clientes como de terceros.
- El apartado d) ?El volumen de negocio o actividad del infractor?, puesto que se
trata de una gran empresa dentro de su sector de negocio o actividad.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
14/15
En el presente caso, valorados los criterios de graduación de las sanciones
establecidos en el artículo 45.4, tanto favorables como adversos, se impone una
sanción de 40.001 ? por la infracción del artículo 9.1 de la LOPD, en relación con el
artículo 93 del RLOPD, de la que COMMCENTER debe responder.
Vistos los preceptos citados y demás de general aplicación,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad COMMCENTER, S.A. con NIF A15631146, por una
infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de la
misma Ley, una multa de 40.001 ? (cuarenta mil un euro), de conformidad con lo
establecido en el artículo 45.2 de la citada LOPD.
SEGUNDO: NOTIFICAR la presente resolución a COMMCENTER, S.A.
TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva
una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el
artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el
artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto
939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000
0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco
CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período
ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se
encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el
pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si
se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del
pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de
medidas fiscales, administrativas y del orden social, la presente Resolución se hará
pública, una vez haya sido notificada a los interesados. La publicación se realizará
conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia
Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo
a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado
por el Real Decreto 1720/2007, de 21 diciembre.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
15/15
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, los interesados podrán interponer, potestativamente,
recurso de reposición ante la Directora de la Agencia Española de Protección de Datos
en el plazo de un mes a contar desde el día siguiente a la notificación de esta
resolución o directamente recurso contencioso administrativo ante la Sala de lo
Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de
13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de
dos meses a contar desde el día siguiente a la notificación de este acto, según lo
previsto en el artículo 46.1 del referido texto legal.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, se podrá suspender cautelarmente la resolución firme en
vía administrativa si el interesado manifiesta su intención de interponer recurso
contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar
formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección
de Datos, presentándolo a través del Registro Electrónico de la Agencia
[https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes
registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También
deberá trasladar a la Agencia la documentación que acredite la interposición efectiva
del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el
día siguiente a la notificación de la presente resolución, daría por finalizada la
suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es