Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00245-2020 de 06 de octubre de 2020
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 39 min
Órgano: Agencia Española de Protección de Datos
Fecha: 06/10/2020
Num. Resolución: PS-00245-2020
Cuestión
Sector:1 / 21
936-031219
Procedimiento Nº: PS/00245/2020
RESOLUCIÓN R/00447/2020 DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
En el procedimiento sancionador PS/00245/2020, instruido por la Agencia
Española de Protección de Datos a AVATA HISPANIA, S.L. , vista...
Contestacion
1/21
936-031219
? Procedimiento Nº: PS/00245/2020
RESOLUCIÓN R/00447/2020 DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
En el procedimiento sancionador PS/00245/2020, instruido por la Agencia
Española de Protección de Datos a AVATA HISPANIA, S.L., vista la denuncia
presentada por A.A.A., PLATA EVENTOS, S.L., y en base a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 21 de septiembre de 2020, la Directora de la Agencia Española
de Protección de Datos acordó iniciar procedimiento sancionador a AVATA HISPANIA,
S.L. (en adelante, el reclamado), mediante el Acuerdo que se transcribe:
Procedimiento Nº: PS/00245/2020
ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas por la Agencia Española de Protección de
Datos y en base a los siguientes
HECHOS
PRIMERO: D. A.A.A. (en adelante, el reclamante) con fecha 16/04/2019 interpuso
reclamación ante la Agencia Española de Protección de Datos. La reclamación se
dirige contra AVATA HISPANIA, S.L. con NIF B24456907 (en adelante, el reclamado).
Los motivos en que basa la reclamación son:
Que están utilizando datos personales de su sociedad, datos especialmente
protegidos, una vez finalizado el contrato que les unía y en el cual el denunciado tenía
la figura de encargado del tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/21
Que el 18/09/2015, firmó un contrato de franquicia con el denunciado, en el que
figuraban el primero como responsable del tratamiento y el segundo como encargado.
Que durante la vigencia del contrato entre ambas partes, el responsable del
tratamiento utilizaba una plataforma online mantenida y gestionada por el encargado
del tratamiento para el control administrativo de los casos que le encargaban sus
clientes.
Que detectó a través de una auditoría externa, que realizó en colaboración con una
consultoría especialista, que la plataforma del denunciado no ofrecía los niveles de
seguridad mínimos exigidos para el tratamiento de datos personales especialmente
protegidos, razón por la cual, el denunciante solicitó que se subsanaran las
deficiencias detectadas. Tras esta solicitud, el denunciado canceló al denunciante el
acceso a la plataforma y al correo electrónico.
Que con fecha 25/01/2019, solicitó la devolución de los datos de sus clientes y su
eliminación de la plataforma.
Que con fecha 29/01/2019 el denunciado respondió desestimando la solicitud.
Que esa misma fecha envía burofax al denunciado rompiendo toda relación comercial
con fecha 31/01/2019 y solicitando de nuevo la supresión de los expedientes que
obraran en su poder y de los cuales fuera responsable el denunciante. También se
solicitó al denunciado que no se pusiera en contacto con sus clientes porque el
contrato como encargado del tratamiento había expirado y no tenía autorización para
ello.
Que con fecha 06/02/2019 se envía correo electrónico solicitando de nuevo la
devolución de los expedientes de sus clientes y su posterior eliminación al amparo de
lo establecido en el art.28.3 del RGPD.
Que con fecha 08/02/2019 mediante correo electrónico solicitan al denunciado que
devuelvan los correos electrónicos recibidos y enviados desde su cuenta de Avata
Hispania.
Que el denunciado, con la relación de encargado del tratamiento ya finalizada, ha
seguido tratando los datos de los clientes del denunciante llegando incluso a
establecer contactos telefónicos con sus clientes para ofertarle los servicios que el
denunciante les estaba prestando.
Y, entre otra, anexa la siguiente documentación:
? Copia de carta dirigida al denunciado fechada a 25/01/2019 sin firmar
solicitando la devolución y supresión de todos los datos introducidos en la
plataforma.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/21
? Copia de carta dirigida al denunciado firmada y fechada a 28/01/2019 donde
consta entre otros aspectos:
o La comunicación de la resolución del contrato de franquicia para la
explotación de una actividad comercial bajo la denominación ?AVATA
HISPANIA? de fecha 18/09/2015 con fecha de cese de la actividad de
explotación de la marca ?AVATA HISPANIA? en fecha 31/01/2019.
o La solicitud al denunciado de la supresión de todos los expedientes de
sus clientes en virtud del art. 17.1 del RGPD y art. 17 LOPD.
o Que el denunciado se abstenga de ponerse en contacto con sus
clientes ya que no tiene el consentimiento expreso de sus clientes para
tal efecto.
? Copia de contestación del denunciado fechado a 29/01/2019 y sin firma donde
constan las siguientes manifestaciones:
o Que los derechos relativos a la protección de datos podrán ejercitarse
siempre a instancia del interesado, esto es el cliente final y no PLATA
EVENTOS, S.L. Que por tanto deben desestimar dicha solicitud.
o Que el tratamiento por parte de AVATA HISPANIA de los datos de los
clientes finales se basa en contrato existente entre ésta y PLATA
EVENTOS, S.L.
o Que el tratamiento de estos datos es necesario para la ejecución del
contrato de franquicia, así como para salvaguardar el interés legítimo
que AVATA tiene sobre su propia marca y buena imagen tal y como se
recoge expresamente en el contrato de franquicia suscrito entre las
partes y firmado con fecha 18/09/2015.
? Copia de carta dirigida al denunciado, firmada y fechada a 06/02/2019 donde
consta la solicitud al denunciado de que le sean devueltos todos los datos
personales que estén en su poder y una vez devueltos los supriman de sus
sistemas.
? Copia de correo electrónico de fecha 08/02/2019 dirigido a correos electrónicos
de los dominios fundacionavata.org y avatahispania.com solicitando les faciliten
los correos electrónicos desde el inicio de la actividad.
? Declaraciones juradas de 2 clientes del denunciante en las que consta que
AVATA HISPANIA se ha puesto en contacto con ellos por vía telefónica con
fechas 25/03/2019 y 22/03/2019 respectivamente, para informarles de la
posesión de sus datos y del uso que harían de ellos, en el primer caso, y de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/21
que PLATA EVENTOS, S.L. ya no pertenecía a FUNDACIÓN AVATA ni a AVATA
HISPANIA, en el segundo caso.
SEGUNDO: Tras la recepción de la reclamación, la Subdirección General de
Inspección de Datos procedió a realizar las siguientes actuaciones:
Con fecha 10/07/2019, AVATA remite a esta Agencia la siguiente información y
manifestaciones:
1. Manifiesta que ?Como bien afirma la AEPD en su sección dedicada a ayudar al
ciudadano y al responsable del tratamiento, este organismo en el apartado "Y
en qué no te podemos ayudar" declara que no es competente en extremos
como: "1.. discrepancias con el prestador de servicios sobre cuestiones de
ámbito civil tales como las relativas a la validez del contrato, la interpretación
de las cláusulas contractuales. el cumplimiento, inexistencia del compromiso
de permanencia, la prescripción de la deuda contraída, fecha en que debió
hacerse la solicitud de baja del servicio, o efectos del desistimiento". Pues bien,
analizando la reclamación presentada de contrario y las circunstancias que
rodean a la misma, derivadas de la relación contractual entre las partes, no
podemos sino afirmar que nos encontramos en este supuesto, ya que PLATA
EVENTOS está instrumentalizando un medio en vía administrativa como es la
presentación de reclamación ante la AEPD manifestando un incumplimiento de
la Normativa Aplicable en materia de protección de datos personales que no se
acredita, para intentar atacar la disputa mercantil existente entre ambas
compañías en sede judicial por incumplimiento de las obligaciones mercantiles
relativas al contrato de franquicia por parte de PLATA EVENTOS??
2. Manifiesta que ?con fecha 30 de enero de 2019 se recibe un burofax de PLATA
EVENTOS (Documento III que aporta el reclamante en su reclamación) por el
cual se rescinde unilateralmente el contrato de franquicia y se solicita en la
última página de este documento en el punto 3 que "Le requerimos a que, en
virtud del Art. 17.1 del Reglamento (UE) 2016/679 y Art. 17 de LOPD proceda a
suprimir todos los expedientes de nuestros clientes?. Por Io que, aunque los
artículos en los que se basa son los relativos a derechos de los interesados y
no del responsable del tratamiento, mi representada, actuando conforme a
derecho y en base a su buena fe, atendiendo al requerimiento entendiendo que
claramente se querían referir a sus obligaciones como encargado del
tratamiento derivado del artículo 28 del RGPD en su aparado 3 g) que estipula:
"a elección del responsable, suprimirá o devolverá todos los datos personales
una vez finalice la prestación de los servicios de tratamiento, y suprimirá las
copias existentes a menos que se requiera la conservación de los datos
personales en virtud del Derecho de la Unión o de los Estados miembros; ". En
este sentido el Responsable del Tratamiento, PLATA EVENTOS, decidió que
suprimiéramos los datos, hecho este que se llevó a cabo y del cual aportamos
certificado de cumplimiento como DOCUMENTO Nº5. ?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/21
Se aporta copia de carta fechada a 29/01/2019 sin firmar remitida por AVATA
HISPANIA a PLATA EVENTOS, S.L. donde se manifiesta que:
a) ??que conforme al ejercicio de los derechos de supresión y portabilidad
que manifiesta PLATA EVENTOS, S.L.U, el RGPD en sus artículos 17 y 20
y la LOPD-DDG en sus artículos 15 y 17, establecen que los derechos
relativos a la protección de datos podrán ejercitarse siempre a instancia del
interesado, esto es, el cliente final y no PLATA EVENTOS, S.L.U. Por lo
tanto, debemos de desestimar dicha solicitud.?
b) ??de acuerdo con la normativa vigente en materia de Protección de datos,
determinamos que el tratamiento de estos datos es necesario para la
ejecución efectiva del contrato de franquicia, en el que ambas empresas
forman parte y que, por lo tanto, este tratamiento es absolutamente
necesario y legítimo para satisfacer los intereses contractuales perseguidos
por ambas partes, así como para salvaguardar el interés legítimo que
AVATA tiene sobre su propia marca y buena imagen tal y como se recoge
expresamente en el contrato de franquicia suscrito entre las partes y
firmado en Cáceres el 18 de septiembre de 2015.?
Se aporta copia de ?Justificante de supresión y bloqueo de datos (art.28.3
RGPD)? por parte del reclamado, fechado y firmado a 05/07/2019 donde se
manifiesta que:
a) ?Que en base a la responsabilidades solidarias de ambas entidades, en
virtud del contrato de franquicia, AVATA, amparada en la normativa civil y
mercantil del Derecho Español, Avata Hispania procedió a la supresión de
los datos personales originales en fecha 31 de enero de 2018 y que
conserva copia debidamente bloqueada de los datos personales de los
interesados hasta que prescriban las acciones que pudieran derivarse. A
estos efectos, se le comunicó a PLATA EVENTOS mediante burofax de 31
de enero de 2019.?
Se aporta copia de burofax remitido por el reclamado a PLATA EVENTOS, S.L.
en fecha 31/01/2019 donde consta:
?El bloqueo del programa-plataforma está justificado y le han sido
explicados los motivos (de seguridad) con total claridad y basados en el
cumplimiento estricto de la normativa de protección de datos, habida
cuenta de la alarma que nos ha provocado su correo electrónico.?
1. Que los expedientes a los que se refiere el denunciante son fichas de cliente
que contienen información somera del accidente y datos identificativos del
cliente, y que en ningún caso se adjunta información relativa a la causa o
procedimiento en curso del interesado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/21
2. Que no les corresponde responder a la solicitud de devolución de la
información contenida en los buzones de correo con dominio
fundacionavata.org pues no es titularidad del reclamado sino de FUNDACIÓN
AVATA AYUDA AL ACCIDENTADO, persona jurídica independiente.
3. Que en relación a las comunicaciones con los interesados, manifiesta ?las
mismas se han llevado a cabo con posterioridad a la resolución del contrato
cuando, tras reiterar de forma insistente a PLATA EVENTOS el requerimiento
de AVATA del cumplimiento del tenor contractual que les unía, por el cual la
misma tenía la obligación de notificar a sus clientes que las reclamaciones se
harían fuera de la seguridad y amparo de la Red AVATA a partir de ese
momento. Dado que no se remitió a la empresa justificante de dichas
comunicaciones, en base al interés legítimo y en cumplimiento del contrato de
franquicia, AVATA única y exclusivamente se puso en contacto con los
clientes/interesados para informarles de que PLATA EVENTOS había dejado
de formar parte de la Red AVATA, tal y como se desprende de las propias
declaraciones juradas aportadas??
4. Que han adoptado las siguientes medidas:
a. ?Revisión y actualización del procedimiento de Devolución, Bloqueo y
Conservación de los datos. Específicamente, ante solicitudes de
Devolución remitidas por el Responsable del Tratamiento, se
comprobará sin más dilación los datos de identidad y los datos
personales que figuran en su espacio en el sistema asociados a sus
clientes. Una vez verificado este paso, se procederá al envío seguro de
los datos personales en formato estructurado en un plazo máximo de 5
días hábiles o, en su caso, la supresión si procede. ?
b. Se ha establecido adicionalmente un control de cumplimiento por parte
del área de Auditoria del reclamado para asegurar que se cumple con
los plazos fijados en el Procedimiento indicado.
c. Refuerzo en la formación a los miembros del Servicio Técnico y de
Atención al Cliente (responsables del proceso de devolución) para
asegurar el conocimiento (y seguimiento) de los procesos establecidos.
d. Se ha procedido a solicitar un informe sobre las medidas de seguridad
perimetrales de la plataforma vigentes.
5. Que reiteran su actuación conforme a las exigencias de la normativa aplicable
actuando conforme a las indicaciones del responsable del tratamiento y
evidenciando el bloqueo y conservación de los datos.
Se aporta copia de correo electrónico de fecha 28/01/2019 remitido por ***EMAIL.1 y
enviado a ***EMAIL.2 donde se manifiesta que:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/21
a) El responsable del tratamiento (PLATA EVENTOS, S.L.) ha detectado que el
personal del encargado del tratamiento (AVATA HISPANIA, S.L.) está
realizando tratamientos de datos personales sin autorización por parte del
responsable del tratamiento y sin el consentimiento expreso de los clientes del
mismo.
b) Que en la auditoría de seguridad realizada por una empresa especializada, se
ha detectado que la plataforma propiedad del encargado del tratamiento no
cumple con las medidas de seguridad necesarias para el tratamiento de datos
especialmente protegidos.
c) Y solicitan les devuelvan los datos que hayan sido introducidos en su
plataforma. Solicitan también la supresión de los mismos.
Se aporta copia de correo electrónico de fecha 30/01/2019 remitido por ***EMAIL.3
enviado a ?A.A.A.? donde se manifiesta que:
a) Que es imprescindible que firme el contrato que se le remite adjunto dado que
ha de regularizarse la situación conforme a la normativa vigente.
b) Consta adjunto al correo electrónico, un fichero con nombre ?CONTRATO
TRATAMIENTO DATOS AVATA-PLATA EVENTOS.pdf?
Con fecha 22/07/2020, el reclamado remite a esta Agencia la siguiente información:
1. Copia de ?CONTRATO DE FRANQUICIA ENTRE AVATA HISPANIA, S.L. Y
PLATA EVENTOS, S.L.? fechado y firmado a 18/09/2015 donde consta:
a. AVATA HISPANIA, S.L. como franquiciador y PLATA EVENTOS, S.L.
como franquiciado.
b. En la manifestación primera consta:
?Que el Franquiciador tiene por objeto social la distribución comercial y
prestación de servicios a través de la canalización o comunicación entre
el cliente, con quien mantiene la titularidad de la relación jurídica
contractual, y el profesional o profesionales en cada caso necesarios,
para la tramitación judicial y extrajudicial, fundamentalmente, de
indemnizaciones derivadas de accidentes de tráfico, así como de
cualesquiera otros asuntos de índole jurídico-legal y la coordinación de
las diferentes prestaciones especificas adecuadas a cada caso.?
a. En la manifestación novena consta:
?Que el Franquiciador está dispuesto a otorgar al Franquiciado los
derechos de explotación de la franquicia por el presente CONTRATO
para el correcto cumplimiento del objeto del mismo, operando éste
durante la vigencia del presente CONTRATO por cuenta y riesgo del
Franquiciado.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/21
a. En la manifestación décima consta:
?Que el Franquiciado manifiesta su deseo de celebrar este CONTRATO
de franquicia, el cual asume en todos sus extremos, y se compromete a
mantener y respetar las características del negocio descrito y su
imagen frente a los clientes, otros Franquiciados y terceros ajenos a la
Franquicia. Ambas partes convienen en suscribir el presente
CONTRATO de franquicia, aceptando a tal fin el concepto de franquicia
como un sistema de colaboración, bajo CONTRATO, basado en la
confianza mutua entre las partes, que son partes jurídicamente
independientes, mediante el cual, una de ellas, el Franquiciador, cede a
cambio de unas determinadas compensaciones económicas, tácitas o
expresas el derecho a utilizar y/o explotar el producto, servicio, nombre,
rótulo, símbolos, distintivos, Iogotipo y marca comerciar ya acreditados,
junto con el conocimiento necesario para desaqgllar el negocio, al
Franquiciado, que con su aportación financiera, se compromete a
seguir las normas, fórmulas, sistemas, metodología y procedimientos
del Franquiciador.?
b. En su disposición general tercera:
?El Franquiciado cumplirá puntualmente cuantas obligaciones de
carácter fiscal y protección de datos, impone la normativa vigente a las
personas físicas o jurídicas que ejerzan actividades comerciales,
llevando con la diligencia de un buen comerciante los libros, registros y
demás documentación fiscal y contable??
c. En la cláusula primera, ?OBJETO DEL CONTRATO?, consta:
?El objeto del presente CONTRATO es la concesión por el
Franquiciador al Franquiciado, del derecho a prestar los servicios,
comercializar los productos y a hacer uso, con licencia limitada, de la
marca o marcas, logotipo (-s), símbolos distintivos, nombre comercial y
rótulo del Franquiciador, única y exclusivamente para alcanzar el
cumplimiento de los fines que se expresan en el presente CONTRATO,
sin que el Franquiciado adquiera por ello la titularidad de la marca, o
marcas, logotipo (-s), símbolos distintivos y rótulo (-s).
Igualmente, el Franquiciador, transmite al Franquiciado el "Know how" y
experiencia necesarios para llevar a cabo el objeto de este
CONTRATO.?
d. En la cláusula ?2. EL FRANQUICIADO: EMPRESARIO
INDEPENDIENTE?, consta:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/21
i. 2.1- El Franquiciado y el Franquiciador son partes jurídicamente
independientes, que concurren voluntaria y libremente en la
celebración del presente CONTRATO de Franquicia.
?
2.3.- Ambas partes pactan y acuerdan que el Franquiciador
aporta la fuerza de ventas así como de los servicios jurídicos,
poniéndolos a disposición de la Franquicia. No obstante, todos
los gastos en los que se pudiera incurrir en tal derivado de esta
cláusula, correrán por cuenta del Franquiciado.?
e. En la cláusula 9.5., dentro de ?9. OBLIGACIONES DEL
FRANQUICIADOR?, consta:
?9.5. Proveer un programa informático desarrollado para ayudar al
Franquiciado en la gestión de los expedientes que se tramiten, que será
utilizado e instalado en equipamiento informático aprobados por el
Franquiciador, siendo todos los costos por cuenta del Franquiciado.?
f. En la cláusula 10.10., dentro de ?10. OBLIGACIONES DEL
FRANQUICIADO?, consta:
?Cumplir con puntualidad todas sus obligaciones frente a los
acreedores, cualquiera que sea su naturaleza, y muy en especial
aquellas concernientes a sus deberes en materia laboral, de seguridad
social, fiscal y de protección de datos.?
g. En la cláusula 10.26., dentro de ?10. OBLIGACIONES DEL
FRANQUICIADO?, consta:
?10.26.- No involucrar al Franquiciador en ninguna causa legal que
estuviera derivada de acciones de las que fuera responsable o
corresponsable el Franquiciado.
La utilización del rótulo, logotipo, marca y símbolos del Franquiciador no
supone en ningún caso, la aceptación de responsabilidad por el
Franquiciador, toda vez que el Franquiciado actúa como empresario
independiente.
Toda demanda, reclamación, indemnización. pérdida, juicio,
procedimiento, costes y gastos en que incurra el Franquiciado en el
desarrollo de su actividad será de la única y exclusiva responsabilidad
del Franquiciado.
Caso el Franquiciador se encuentre envuelto en cualesquiera procesos
por la actuación del Franquiciado, sus colaboradores, auxiliares,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/21
agentes y empleados, el Franquiciador podrá repetir contra el
Franquiciado, por todos los gastos así como los daños y perjuicios que
soporte derivados del mismo.?
h. En la cláusula 10.38., dentro de ?10. OBLIGACIONES DEL
FRANQUICIADO?, consta:
?10.38.- El Franquiciado deberá permitir al Franquiciador el acceso en
todo momento a su programa informático de gestión.?
i. En la cláusula 18.3., dentro de ?18. RESOLUCIÓN DEL CONTRATO?,
consta:
?Por resolución anticipada a voluntad de cualquier de las partes,
mediando causa justificada y el consabido preaviso en la forma que se
determina en ese CONTRATO.?
j. En la cláusula 18.7e., dentro de ?18. RESOLUCIÓN DEL CONTRATO?,
consta:
?El Franquiciado dará a conocer el hecho de su cese en calidad de
Franquiciado a todo aquel que pudiera afectarle, informándole de su
desvinculación del Franquiciador.?
k. En la cláusula 18.9., dentro de ?18. RESOLUCIÓN DEL CONTRATO?,
consta:
?En caso de resolución o finalización del CONTRATO de franquicia por
cualquier causa, el Franquiciado cederá al Franquiciador la posición
jurídica que ostente en todos los contratos de prestación de servicios
que tenga formalizados con la clientela relativos a expedientes no
archivados a fin de poderlos llevar a buen término garantizando así los
intereses de los clientes y el buen crédito de AVATA HISPANIA...?
2. Copia de electrónico remitido por ***EMAIL.3 a ?A.A.A.? en fecha 21 de
noviembre de 2018 en el que consta a pie de correo electrónico el siguiente
aviso:
?Según la normativa de protección de datos, le informamos que sus
datos forman parte de un fichero cuyo responsable es AVATA HISPANIA
CIF B-24456907 y domicilio en León, Avda. Ordoño II, nº 26-principal,
CP. 24001 y dirección de correo electrónico ***EMAIL.4. Sus datos
serán tratados para la finalidad de informarle y responder sus
solicitudes por vía electrónica. Usted podrá ejercitar sus derechos de
acceso, rectificación, supresión, limitación de tratamiento, oposición y/o
portabilidad dirigiéndonos una solicitud con copia de su DNI a AVATA
HISPANIA en el domicilio y correo indicados??
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/21
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada
autoridad de control, y según lo establecido en los artículos 47 y 48 de la LOPDGDD,
la Directora de la Agencia Española de Protección de Datos es competente para iniciar
y para resolver este procedimiento.
II
El artículo 58 del RGPD, Poderes, señala:
?2. Cada autoridad de control dispondrá de todos los siguientes poderes
correctivos indicados a continuación:
(?)
i) imponer una multa administrativa con arreglo al artículo 83, además o en
lugar de las medidas mencionadas en el presente apartado, según las circunstancias
de cada caso particular;
(?)?
En el artículo 4 del RGPD, Definiciones, señala que: ?A efectos del presente
Reglamento se entenderá por:
(?)
8) «encargado del tratamiento» o «encargado»: la persona física o jurídica,
autoridad pública, servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento?;
Y en el artículo 28.3.g) del RGPD, encargado del tratamiento, se señala que:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/21
?3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico
con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al
encargado respecto del responsable y establezca el objeto, la duración, la naturaleza
y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados,
y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico
estipulará, en particular, que el encargado:
(?)
g) a elección del responsable, suprimirá o devolverá todos los datos personales
una vez finalice la prestación de los servicios de tratamiento, y suprimirá las
copias existentes a menos que se requiera la conservación de los datos
personales en virtud del Derecho de la Unión o de los Estados miembros;
(?)?
III
Hay que señalar que la vulneración del artículo 28.3.g) del RGPD se encuentra
tipificada en el artículo 83.4.a) del citado RGPD en los siguientes términos:
?4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo
con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose por
la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43.
(?)?
Por otra parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/21
?Constituyen infracciones los actos y conductas a las que se refieren los
apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las
que resulten contrarias a la presente ley orgánica?.
Y en su artículo 74, a efectos de prescripción, califica de ?Infracciones
consideradas leves?:
?Se consideran leves y prescribirán al año las restantes infracciones de
carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del
artículo 83 del Reglamento (UE) 2016/679 y, en particular, las siguientes:
(?)
j) La falta del cumplimiento de la obligación del encargado del tratamiento de
informar al responsable del tratamiento acerca de la posible infracción por una
instrucción recibida de este de las disposiciones del Reglamento (UE)
2016/679 o de esta ley orgánica, conforme a lo exigido por el artículo 28.3 del
citado reglamento.
(?)?
IV
La documentación obrante en el expediente ofrece indicios evidentes de que el
reclamado vulneró el artículo 28 del RGPD, encargado del tratamiento, al incumplir las
obligaciones que le incumben con relación al responsable del tratamiento, como se
desprende de los correos remitidos al reclamado solicitando que se le devuelvan los
expedientes y que posteriormente se cancelen los datos.
El artículo 28 del RGPD dedicado expresamente a esta figura, entre otras
señala el cumplimiento de aquellas obligaciones que debe asumir, de forma que no se
circunscriben únicamente a los términos del contrato suscrito con el responsable, sino
que se configuran como obligaciones propias, y por tanto independientes a las que
puedan asumir contractualmente.
Entre estas obligaciones específicas que podrán ser supervisadas por las
autoridades de protección de datos, sin perjuicio de la fiscalización que pueda realizar
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/21
en relación con el cumplimiento del Reglamento o de la LOPDGDD por parte del
responsable del tratamiento, son obligaciones del encargado:
- La suscripción un contrato u acto jurídico con el responsable. Este contrato
deberá establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el
tipo de datos personales y categorías de interesados, y las obligaciones y derechos
del responsable. En particular estipulará que el encargado:
- tratará los datos personales únicamente siguiendo instrucciones
documentadas del responsable, inclusive con respecto a las transferencias de datos
personales a un tercer país o una organización internacional;
- garantizará que las personas autorizadas para tratar datos personales se
hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de
confidencialidad de naturaleza estatutaria;
- tomará todas las medidas necesarias;
- asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través
de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que
este pueda cumplir con su obligación de responder a las solicitudes que tengan por
objeto el ejercicio de los derechos de los interesados;
- ayudará al responsable a garantizar el cumplimiento de las obligaciones;
- a elección del responsable, suprimirá o devolverá todos los datos personales
una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias
existentes a menos que se requiera la conservación de los datos personales y
- pondrá a disposición del responsable toda la información necesaria para
demostrar el cumplimiento de las obligaciones establecidas, así como para permitir y
contribuir a la realización de auditorías, incluidas inspecciones, por parte del
responsable o de otro auditor autorizado por dicho responsable.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/21
V
A fin de establecer la multa administrativa que procede imponer han de
observarse las previsiones contenidas en los artículos 83.1 y 83.2 del RGPD, que
señalan:
?1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias
de cada caso individual, a título adicional o sustitutivo de las medidas contempladas
en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate
así como el número de interesados afectados y el nivel de los daños y
perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del
tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan
aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del
tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner
remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/21
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso,
en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido
ordenadas previamente contra el responsable o el encargado de que se trate
en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del
caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción.
En relación con la letra k) del artículo 83.2 del RGPD, la LOPDGDD, en su
artículo 76, ?Sanciones y medidas correctivas?, establece que:
?2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE)
2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos
de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión
de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de
datos.
h) El sometimiento por parte del responsable o encargado, con carácter
voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos
supuestos en los que existan controversias entre aquellos y cualquier
interesado.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/21
De acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de la
instrucción del procedimiento, a efectos de fijar el importe de la sanción de multa a
imponer en el presente caso por la infracción tipificada en el artículo 84.4.a) del RGPD
de la que se responsabiliza al reclamado, en una valoración inicial, se estiman
concurrentes los siguientes factores:
El alcance en un entorno local del tratamiento llevado a cabo por la entidad
reclamada.
El número de afectados se circunscribe al reclamante.
No se tiene constancia de que la entidad hubiera obrado dolosamente, aunque
la actuación revela una grave falta de diligencia.
La vinculación de la actividad del infractor con la realización de tratamientos de
datos de carácter personal.
La entidad reclamada es una gran empresa.
Por lo tanto, de acuerdo con lo señalado,
Por la Directora de la Agencia Española de Protección de Datos,
SE ACUERDA:
PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a AVATA HISPANIA, S.L. con
NIF B24456907, por la presunta infracción del artículo 28.3.g) del RGPD, tipificada en
el artículo 83.4.a) del citado RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/21
SEGUNDO: NOMBRAR como instructor a B.B.B. y como secretaria a C.C.C.,
indicando que cualquiera de ellos podrá ser recusado, en su caso, conforme a lo
establecido en los artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen
Jurídico del Sector Público (LRJSP).
TERCERO: INCORPORAR al expediente sancionador, a efectos probatorios, la
reclamación interpuesta por el reclamante y su documentación, los documentos
obtenidos y generados por la Subdirección General de Inspección de Datos durante la
fase de investigaciones, así como el informe de actuaciones previas de Inspección.
CUARTO: QUE a los efectos previstos en el art. 64.2 b) de la ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la
sanción que pudiera corresponder sería de 5.000 ? (cinco mil euros), sin perjuicio de lo
que resulte de la instrucción.
QUINTO: NOTIFICAR el presente acuerdo a AVATA HISPANIA, S.L. con NIF
B24456907, otorgándole un plazo de audiencia de diez días hábiles para que formule
las alegaciones y presente las pruebas que considere convenientes. En su escrito de
alegaciones deberá facilitar su NIF y el número de procedimiento que figura en el
encabezamiento de este documento.
Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo
podrá ser considerado propuesta de resolución, según lo establecido en el artículo
64.2.f) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de
las Administraciones Públicas (en lo sucesivo, LPACAP).
De conformidad con lo dispuesto en el artículo 85 de la LPACAP, en caso de que la
sanción a imponer fuese de multa, podrá reconocer su responsabilidad dentro del
plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio; lo
que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en
el presente procedimiento. Con la aplicación de esta reducción, la sanción quedaría
establecida en 4.000 ? (cuatro mil euros), resolviéndose el procedimiento con la
imposición de esta sanción.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/21
Del mismo modo podrá, en cualquier momento anterior a la resolución del presente
procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que
supondrá la reducción de un 20% de su importe. Con la aplicación de esta reducción,
la sanción quedaría establecida en 4.000 ? (cuatro mil euros), y su pago implicará la
terminación del procedimiento.
La reducción por el pago voluntario de la sanción es acumulable a la que corresponde
aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento
de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular
alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida
en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En
este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría
establecido en 3.000 (tres mil euros).
En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará
condicionada al desistimiento o renuncia de cualquier acción o recurso en vía
administrativa contra la sanción.
En caso de que optara por proceder al pago voluntario de cualquiera de las cantidades
señaladas anteriormente (4.000 o 3.000 euros), deberá hacerlo efectivo mediante su
ingreso en la cuenta nº ES00 0000 0000 0000 0000 0000 abierta a nombre de la
Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A., indicando
en el concepto el número de referencia del procedimiento que figura en el
encabezamiento de este documento y la causa de reducción del importe a la que se
acoge.
Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de
Inspección para continuar con el procedimiento en concordancia con la cantidad
ingresada.
El procedimiento tendrá una duración máxima de nueve meses a contar desde la
fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.
Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de
actuaciones; de conformidad con lo establecido en el artículo 64 de la LOPDGDD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/21
Por último, se señala que conforme a lo establecido en el artículo 112.1 de la LPACAP,
contra el presente acto no cabe recurso administrativo alguno.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
>>
SEGUNDO : En fecha 30 de septiembre de 2020, el reclamado ha procedido al pago
de la sanción en la cuantía de 3000 euros haciendo uso de las dos reducciones
previstas en el Acuerdo de inicio transcrito anteriormente, lo que implica el
reconocimiento de la responsabilidad.
TERCERO: El pago realizado, dentro del plazo concedido para formular alegaciones a
la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía
administrativa contra la sanción y el reconocimiento de responsabilidad en relación con
los hechos a los que se refiere el Acuerdo de Inicio.
FUNDAMENTOS DE DERECHO
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de
control, y según lo establecido en el art. 47 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
lo sucesivo LOPDGDD), la Directora de la Agencia Española de Protección de Datos
es competente para sancionar las infracciones que se cometan contra dicho
Reglamento; las infracciones del artículo 48 de la Ley 9/2014, de 9 de mayo, General
de Telecomunicaciones (en lo sucesivo LGT), de conformidad con lo dispuesto en el
artículo 84.3 de la LGT, y las infracciones tipificadas en los artículos 38.3 c), d) e i) y
38.4 d), g) y h) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la
información y de comercio electrónico (en lo sucesivo LSSI), según dispone el artículo
43.1 de dicha Ley.
II
El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica
?Terminación en los procedimientos sancionadores? dispone lo siguiente:
?1. Iniciado un procedimiento sancionador, si el infractor reconoce su
responsabilidad, se podrá resolver el procedimiento con la imposición de la sanción
que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa
imponer una sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado
la improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/21
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario,
el órgano competente para resolver el procedimiento aplicará reducciones de, al
menos, el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables
entre sí. Las citadas reducciones, deberán estar determinadas en la notificación de
iniciación del procedimiento y su efectividad estará condicionada al desistimiento o
renuncia de cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente.
De acuerdo con lo señalado,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR la terminación del procedimiento PS/00245/2020, de
conformidad con lo establecido en el artículo 85 de la LPACAP.
SEGUNDO: NOTIFICAR la presente resolución a AVATA HISPANIA, S.L..
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, los interesados podrán interponer recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es